资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
攻击者利用三年前停用的隐私协议验证漏洞,从Aztec Connect窃取超210万美元
6月14日,一名攻击者利用Aztec Connect(一个三年前关闭的隐私协议)中的验证漏洞,盗走了超过210万美元。
关键要点
攻击者在协议停用三年后,于6月14日从Aztec Connect窃取了约219万美元。此次攻击利用了合约证明验证机制中的一个缺口,使得提现操作能够提取没有存款支撑的余额。Aztec Labs表示,其不持有任何管理员密钥,也无法暂停或升级这些不可变合约。
CertiK报告Aztec Connect资金被盗
安全公司CertiK在攻击发生数小时内就发现了可疑活动。它标记出以太坊上RollupProcessorV3合约(该已废弃桥梁的核心组件)的资金被盗。另一家安全公司BlockSec随后也确认了同一漏洞,并最初怀疑代码中缺少访问控制。
漏洞出在合约检查证明数据的方式上:一条路径验证完整的交易集,而结算逻辑却以不同方式读取相同数据。这种不匹配让攻击者能够凭空计入价值,产生从未有存款支撑的余额。
攻击者一次性对七种资产实施了这一手法。盗取的资产包括909枚以太币(ETH)、约27万枚Dai(DAI)、167枚封装质押以太币以及若干生息代币。链上记录显示,资金被追踪到一个通过混币服务注资的新钱包,表明这次行动早有预谋。
Aztec Labs不持有管理员密钥
Aztec基金会在警报发出后不久确认了此事,并强调此次漏洞不影响AZTEC代币和仍在运行的Aztec网络。AZTEC代币价格几乎未受影响,当日交易价仍接近1美分;而该废弃桥梁自2022年首次推出,已于2023年3月停止运行。
Aztec Labs表示无法干预。已废弃的合约不持有管理员密钥,因此无人能暂停或升级它们。开发者Paramex解释称,桥梁关闭后代码已完全变为不可变。调查人员仍在追踪被盗资金在网络上的流向。
废弃的DeFi合约仍存风险
这一事件凸显了行业反复面临的问题:已停运的协议在团队离开后仍长期持有真实资金。一旦漏洞暴露,不可变的代码无法被修补,这使得这些被弃用的系统——如今常被称为“僵尸合约”——在多年内都面临攻击风险。
此次资金被盗事件标志着链上安全形势的一段艰难时期。本月已发生至少十余起攻击事件,总损失约4400万美元,其中近几周多个小型协议遭受攻击。而在4月,仅两起攻击就使月度损失超过6.25亿美元,创下事件数量纪录。
