资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Aztec Labs:弃用的DeFi平台Aztec Connect遭攻击,损失约210万美元
Aztec Labs表示,已弃用的DeFi平台Aztec Connect因攻击者利用了该协议在以太坊上验证和结算交易方式的一个漏洞,导致约210万美元的加密货币被盗。该问题似乎针对的是桥接时代的合约逻辑,而非当前的Aztec Network。根据Aztec Labs在X平台上的更新,资金转移均来自Aztec Connect的智能合约,公司称此次事件并未影响当前Aztec网络上的用户或资产。尽管如此,这一事件是本月去中心化金融领域一系列攻击活动的一个缩影。
关键要点
自2023年3月被弃用的Aztec Connect,因攻击者滥用其交易验证和以太坊结算逻辑,损失了约210万美元。区块链安全公司BlockSec表示,漏洞源于“已验证”的交易输入与ZK证明所强制执行的交易集之间的不匹配,从而产生了无支撑余额。据称,攻击者通过七种不同的资产多次提取资金,包括909枚ETH和27万枚DAI。Aztec Labs声明其不持有管理员密钥,无法暂停或升级系统,开发者称Aztec Connect合约实际上已不可更改。该事件之前,6月份还发生了其他重大攻击事件,包括报道中Humanity Protocol损失的3000万美元,以及Syscoin桥攻击损失的800万美元。
Aztec Connect发生了什么
Aztec Labs在X平台上发布消息称,正在调查一起可能影响Aztec Connect的攻击事件。公司表示,约有210万美元从该平台的智能合约中被转移,而活跃的Aztec网络——其当前专注于隐私的以太坊二层ZK Rollup——未受影响。区块链安全公司BlockSec随后描述了该攻击的技术原理。在其分析中,BlockSec表示,攻击者利用了Aztec Connect验证交易以及这些交易在以太坊上结算的方式。据BlockSec称,核心问题在于绑定不匹配:Aztec Connect合约上已验证的交易“并未有效绑定”到ZK证明所强制执行的交易集。
验证与结算的不匹配导致无支撑取款
BlockSec解释说,这一差距使得以太坊上的验证路径和结算逻辑能够“以不同方式解释交易列表”。实际上,这创造了一条路径,使得合约能够为那些未按照结算逻辑预期方式在以太坊上验证的交易进行价值记账。一旦攻击者引入了导致无支撑余额的交易,这些余额就可以被提取。BlockSec表示,攻击行为在七种不同资产上重复了七次,这表明攻击者使用了可重复的步骤来耗尽多种代币余额,而非依赖单一的一次性漏洞。据报告,被盗资产包括909枚以太币、27万枚DAI、167枚wrapped staked Ether以及其他几种加密货币。CertiK在X平台上发布的相关明细列出了被盗资产的范围。
为何一个弃用的桥合约仍值得关注
Aztec Connect是Aztec系统早期的桥版本,于2022年推出。Aztec Network目前被描述为以太坊上专注于隐私的二层ZK Rollup,而Aztec Connect代表了上一代工具。Aztec Connect于2023年3月被弃用,存款也已停止,团队将精力转向了下一代Aztec Network。然而,Aztec Labs坚称其对受损组件没有控制权:公司表示其“不持有管理员密钥,也无法控制系统”,并补充说无法暂停或升级该系统。独立开发者“Param”也表示,Aztec Connect智能合约变得“完全不可更改”,这强化了这样一种观点:一旦桥接逻辑被淘汰,就无法针对后续威胁进行修补或停止。
这一区别对投资者和开发者而言至关重要:即使一个协议被弃用且存款停止,链上残留的代码和余额仍可能吸引攻击者——尤其是当合约无法升级或暂停时。在这种情况下,漏洞在弃用一年多后才暴露,这说明了长期存在的智能合约产物如何可能持续构成安全风险。
六月份更广泛的攻击压力
此次Aztec Connect事件发生之际,DeFi领域的攻击损失正处于高峰。报道中引用的DeFiLlama数据显示,截至6月份,已有至少4400万美元因另外12起攻击事件被盗。本月早些时候,报道的最大损失是6月8日Humanity Protocol因私钥泄露而损失的3000万美元。前一天,Syscoin Bridge攻击据称通过伪造证明机制盗走了800万美元。尽管每起事件源于不同的技术故障,但模式是一致的:攻击者继续在活跃合约和遗留合约中寻找弱点,即使是知名生态系统也可能通过旧有基础设施而暴露风险。
下一步关注什么
对于用户和DeFi运营商而言,主要问题是Aztec Labs除了调查之外,是否能够提供任何实际的缓解措施——尤其是考虑到其声称无法暂停或升级受影响的系统。更广泛地说,读者应关注BlockSec所描述的具体交易绑定失败问题的进一步取证披露,以及该攻击模式是否暗示其他已退役的桥时代合约中存在类似的设计风险。
