ETH针对Aztec Connect智能合约的一起安全漏洞攻击,导致约210万美元的数字资产被窃取。链上安全公司BlockSec表示,攻击者共盗走了909枚ETH、27万枚DAI以及167枚wstETH。这起事件尤其引人注目,因为漏洞存在于一个已停用三年的隐私桥中,而根据Aztec Labs的声明,目前该系统中已没有任何机制可以进行干预。
旧桥是如何被利用的?
在2023年3月退役之前,Aztec Connect作为一个零知识汇总(zk rollup)桥运行,使用户能够与Aave、Lido等去中心化金融平台交互。到2024年3月,Aztec Labs已完全关闭了自身的排序器基础设施。Aztec以专注于保护用户隐私的智能合约而闻名。
小词典:
零知识汇总是一种扩展解决方案,它在链下批量处理大量交易,并将摘要提交至主链。零知识证明是一种加密方法,可以在不披露交易细节的前提下验证交易的有效性。BlockSec旗下Phalcon平台的分析表明,漏洞源于已验证的交易批次与L1共识流程之间的不匹配。安全公司CertiK指出,问题与证明数据的不完整验证有关。本质上,合约的某个函数只检查了证明的起始部分,而另一段中的代币转账指令并未得到验证。这使攻击者能够操纵提现流程并盗取资金。
Aztec Labs澄清,Aztec Connect已于三年前停止运营,且不再保留任何管理密钥或控制功能,这意味着该协议既无法被暂停,也无法被更新。
Aztec Labs与基金会的回应
Aztec Labs确认他们正在调查该事件,但重申无法直接干预。Aztec基金会在另一份声明中强调,此次攻击并不影响AZTEC ERC-20代币或当前Aztec网络所涉及的任何合约,并解释称当前网络只专注于以隐私为核心的智能合约。
Aztec基金会强调,该事件仅限于遗留的Aztec Connect基础设施,对现有的Aztec网络或AZTEC ERC-20代币合约不构成风险。
当Aztec Labs停用该桥时,作为其隐私承诺的一部分,他们放弃了所有管理控制权。然而,这一决定如今被证明是有问题的,因为事后发现的任何安全漏洞都无法得到修补。
财务损失及更大影响
DeFiLlama的数据显示,攻击前Aztec Connect合约中锁定的总价值约为215万美元,这表明几乎全部锁定资金都在此次攻击中受损。
资产 数量
ETH 909
DAI 270,000
wstETH 167
总锁定价值 约215万美元
报告指出,攻击发生时合约中剩余资产并未受到主动监控。这重新引发了关于将资金留在过时合约中的风险的讨论——即便项目已经向前发展,其安全性也完全依赖于原始代码库。
截至今年6月中旬,加密生态系统中类似漏洞造成的总损失已达4393万美元。本月早些时候,Gnosis Pay和TesseraDAO也遭遇了类似攻击,其中TesseraDAO在BNB Chain上损失了250万美元。这些事件凸显出已停用的平台仍然是攻击者的诱人目标。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注