Aztec Connect, устаревшая децентрализованная финансовая платформа, была опустошена примерно на $2,1 млн в криптовалюте в воскресенье после того, как злоумышленник использовал уязвимость ее функции проверки.
Aztec Labs опубликовала в X в воскресенье сообщение о том, что она «расследует потенциальную уязвимость, затрагивающую Aztec Connect», добавив, что около $2,1 млн было переведено из смарт-контракта платформы, что не затронуло пользователей или активы в текущей сети Aztec.
Эксплойт является последним в череде краж на сумму $44 млн в криптовалюте, произошедших в этом месяце как минимум при 12 других эксплойтах, согласно данным DeFiLlama.
Компрометация приватного ключа протокола Humanity Protocol стала самой крупной в июне, с $30 млн убытков 8 июня, за которой последовал Syscoin Bridge, где было украдено $8 млн в результате эксплойта с использованием поддельного доказательства днем ранее.
Компания Crypto security BlockSec сообщила, что злоумышленник использовал несоответствие в том, как платформа проверяла и завершала транзакции на Ethereum.
В ней говорится, что проверенные транзакции в контракте Aztec Connect «не были эффективно привязаны к набору транзакций, обеспечиваемому ZK-доказательством», что позволяло пути проверки и логике расчетов на Ethereum «интерпретировать список транзакций по-разному».
Затем злоумышленник мог размещать транзакции, в которых контракт зачислял стоимость без ее подтверждения на Ethereum, что создавало неподкрепленные балансы, которые затем можно было вывести. Злоумышленник сделал это семь раз с использованием семи различных активов.
Злоумышленник похитил 909 Ether (ETH), 270 000 Dai (DAI), 167 обернутых застейканных ETH и несколько других криптовалют.
Некоторые из активов, украденных в результате эксплойта. Источник: CertiK
Aztec Network — это конфиденциальная Layer-2 zero-knowledge (ZK) сеть на базе Ethereum. Aztec Connect была предыдущей версией платформы, запущенной в 2022 году как DeFi мост.
_ Связанное:_ _ Потери от эксплойтов криптовалют в мае упали на 90% по сравнению с предыдущим месяцем до $68 млн: CertiK_
Aztec Connect была устарела в марте 2023 года, депозиты были приостановлены, а команда перенаправила ресурсы на Aztec Network следующего поколения.
«Aztec Labs не владеет административными ключами или контролем над системой; ее нельзя поставить на паузу или обновить нами», — заявила команда.
Разработчик криптовалют «Param» сообщил, что смарт-контракты Aztec Connect стали «полностью неизменяемыми» и больше не могут быть обновлены или приостановлены.
«Инцидент — еще одно напоминание о том, что заброшенные DeFi-контракты все еще могут становиться мишенями спустя годы», — сказал он.
