廃止されたAztec Connectのスマートコントラクトが、ブロックチェーンセキュリティ企業SlowMistの分析によって、約$2.19 millionが悪用されたことが明らかになりました。影響を受けたのは、現在も積極的に保守されていないレガシー(旧)インフラの一部であり、現行のAztecネットワークではありません。この出来事は、継続的に存在するDeFiセキュリティ上の課題を浮き彫りにしています。つまり、イミュータブル(不変)のスマートコントラクトは、製品が停止され、チームが新しいシステムへ移行した後でも、悪用可能な標的のまま残り得ます。
SlowMist、Aztec Connectの窃取分析を公開
SlowMistは、Aztec Connectからの$2.19 millionの資産窃取に関する分析を公表しました。同社のレポートでは、悪用されたのは現在稼働中のAztecネットワーク・インフラの一部ではなく、より古いAztec Connectのコントラクトだったと明確化しています。この区別は、セキュリティインシデントの範囲を評価するうえで重要です。なぜなら、悪用がライブの本番システムではなく、廃止されたレガシーコードに影響したことを示しているからです。
シャットダウン後も非推奨コントラクトがオンチェーンに残存
悪用されたコントラクトは非推奨で、プロジェクトチームによってもはや積極的にサポートされていません。DeFi製品が停止してフロントエンドが消え、開発チームが新しいシステムへと移行した後も、スマートコントラクトはオンチェーンに残ります。資金が非推奨コントラクトの内部に残っている場合、未保守のコードに悪用可能な脆弱性を見つけた攻撃者の標的になり得ます。契約の不変性は、コントラクトを予測可能にし、裁量的な制御を取り除く一方で、レガシーインフラで一度発見された脆弱性は修正できないことも意味します。
セキュリティ専門家はレガシーの預け入れを見直すことを推奨
このインシデントは、ユーザーが「古いブリッジやレガシーコントラクトは、プロジェクトが先に進んだのだから安全だ」とは考えないよう示しています。プロトコルがシャットダウン、移行、非推奨化を告知した際には、ユーザーは影響を受けるコントラクトから資金を確認し、引き出すべきです。レガシー環境に資産を残すことは、誰も積極的に監視していないリスクへのエクスポージャー(曝露)を生む可能性があります。セキュリティチームは、製品がもはや宣伝・保守されていない場合でも、非推奨コントラクトをより広いDeFiのリスク環境の一部として扱う必要があるかもしれません。
よくある質問
Aztec Connectのコントラクトで何が起きましたか?
廃止されたAztec Connectのスマートコントラクトが、約$2.19 millionの規模で悪用されました。SlowMistは、影響を受けたコントラクトが現在の稼働中のAztecネットワークの一部ではなく、レガシーのインフラであることを確認する分析を公表しました。
なぜ非推奨のDeFiコントラクトは脆弱なままなのでしょうか?
スマートコントラクトは、製品が停止した後もオンチェーンに残ります。不変性により、非推奨となったコードの脆弱性をパッチできません。そのため、開発チームによってもはや積極的に保守されていない場合でも、残存資金がある古いコントラクトは、悪用可能な標的として残り得ます。
