Aztec Connect 这家已被弃用的去中心化金融平台,上周日遭到约 210 万美元的资金外流,原因是攻击者利用了其验证函数中的漏洞。Aztec Labs 证实该事件影响了平台的智能合约,但表示当前 Aztec Network 上的用户和资产未受影响。该漏洞指向 Aztec 系统的旧版本,该版本于 2022 年推出,并在 2023 年 3 月被弃用,凸显了不可变智能合约中的持续安全风险:即便在主动开发结束后,合约仍可能保留可被访问的价值。
攻击者利用验证与结算不匹配
加密安全公司 BlockSec 认定根因在于:Aztec Connect 如何验证交易,与这些交易在以太坊上的结算方式之间存在不匹配。根据 BlockSec 的说法,Aztec Connect 合约中经验证的交易“并未有效绑定到 ZK 证明所强制执行的交易集合”。这使得以太坊上的验证路径与结算逻辑“对交易列表的理解方式不同”。
该弱点使攻击者能够提交交易:在合约侧对价值进行入账时,却未在以太坊上对其进行适当验证。这些入账形成了无支撑余额,随后就可以被提取。攻击者在七种不同资产上重复了这一过程,共计七次。
被盗七种资产,包括 909 ETH 和 270,000 DAI
被盗资产包括 909 枚以太(Ether)、270,000 枚 Dai、167 枚封装质押 ETH,以及若干其他加密货币。Aztec Labs 表示,约 210 万美元已从平台的智能合约中转出。该漏洞影响了 Aztec Connect:它于 2022 年作为 DeFi 桥启动,并在 2023 年 3 月停止接受存款,因为团队将资源转向下一代 Aztec Network。
不可变合约阻止管理员介入
Aztec Labs 表示:“Aztec Labs 不持有任何管理员密钥,也不控制该系统;因此我们无法暂停或升级它。”加密开发者 Param 说,Aztec Connect 的智能合约变成了“完全不可变”,再也无法进行升级或暂停。在缺少管理员权限的情况下,团队无法在可疑活动开始后阻止提取、修补验证逻辑或冻结已暴露的余额。
6 月的 DeFi 漏洞利用合计至少 4400 万美元
据 DeFiLlama 数据,本月迄今至少有 4400 万美元的资金已在多起漏洞利用事件中被盗。6 月规模最大的事件是 Humanity Protocol 的私钥泄露:6 月 8 日损失了 3000 万美元。Syscoin Bridge 也在前一天因“假证明”漏洞利用损失了 800 万美元。团队表示,当前 Aztec Network 未受 Aztec Connect 漏洞影响。
FAQ
上周日 Aztec Connect 漏洞是由什么造成的?
攻击者利用了 Aztec Connect 验证函数中的缺陷:经验证的交易并未有效绑定到 ZK 证明所强制执行的交易集合,从而使以太坊上的验证路径与结算逻辑对交易列表的解释方式不同。
从 Aztec Connect 被偷走了多少,拿走了哪些资产?
Aztec Connect 的智能合约中约 210 万美元被转走,其中包括 909 枚 Ether、270,000 枚 Dai、167 枚封装质押 ETH,以及跨越七种不同资产的若干其他加密货币。
