ETH攻击者从已废弃的Aztec支付产品中窃取约200万美元
6月17日,攻击者从一个已废弃的Aztec支付产品中盗取了约200万美元。而就在几天前,同一项目的旧版Aztec Connect桥接器在一次独立攻击中损失了219万美元。这两起连续事件进一步凸显了一个日益增长的趋势:黑客正在攻击那些持有用户资金但已无团队维护的废弃智能合约。
已废弃的Aztec智能合约是如何被利用的?
安全研究员Cos在6月18日标记了三笔来自Aztec私有Rollup桥接器合约的可疑交易。根据Cos在X平台上的帖子,这些交易涉及1158枚ETH、150,000枚DAI和0.47枚renBTC,总计约215万美元。Cos所指出的目标合约与6月14日被攻击的合约并非同一份。安全研究员thisvishalsingh在X平台上证实,私有Rollup桥接器资金的流失“与几天前废弃的Aztec Connect合约流失210万美元是独立的事件”。
Aztec Labs在X平台上表示,他们正在“调查一起可能涉及2021年一款已废弃的Aztec支付产品的攻击事件”,并将该合约描述为“一个2022年停用的不可变第二阶段Rollup”。Aztec基金会则表示,“该产品已于4年前废弃,Aztec Labs对该系统已无任何控制权”。
6月14日的攻击(Aztec Labs在一份事后分析中记录了详情)利用的是Aztec Connect的证明验证系统与链上结算代码在处理同一批交易时的缺陷。证明系统按每32行一组检查数据,而结算代码仅处理批次中声明为“真实”的行数。据Aztec Labs称,攻击者通过在一笔交易中打包14个精心构造的Rollup提交,盗走了约909枚ETH、270,513枚DAI、168枚wstETH以及若干Yearn金库代币,总价值约219万美元。6月15日的后续攻击则针对剩余的DeFi桥接器仓位使用了相同手法,卷走了8.8万美元。
Aztec Connect是一款注重隐私的zk-Rollup,于2022年上线,2023年被废弃。2024年4月,在敦促用户提款一年后,Aztec Labs放弃了所有链上管理角色和升级权限。此举旨在让仍持有资金的用户在无需团队介入的情况下自行退出,但同时也意味着,一旦发现任何漏洞,Aztec团队无法部署任何修复方案。
区块链安全公司Blockaid报告称,其监控平台在6月14日攻击交易执行前约六分钟,便检测到了攻击者的准备活动。
为何废弃协议成为攻击目标?
Aztec事件并非个例。6月15日,DeFi期权协议Thetanuts Finance证实,其多年前已迁移的一个旧版金库遭遇攻击,损失210万美元。安全研究员ExVul指出,这次攻击利用了该金库赎回逻辑中的漏洞。Blockful.eth在X平台上强调了这一趋势,写道:“过去几天里,我们目睹了两起攻击事件,暴露了一个在DeFi中很少被提及的风险:老旧合约中沉睡着数百万美元的闲置资金。”
对于以去中心化为名而放弃管理员密钥的协议而言,这种权衡如今看来可能得不偿失,因为攻击者似乎已将目光瞄准了它们。据DefiLlama数据,截至6月中旬,DeFi领域当月的攻击损失已超过4300万美元,而废弃合约在攻击目标中所占比例正日益上升。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注