周日,一个攻击者利用 Aztec Connect 的验证功能,导致这个已弃用的去中心化金融平台被盗走了价值约 210 万美元的加密货币。
Aztec Labs 周日在 X 上发布消息称,他们正在“调查可能影响 Aztec Connect 的漏洞”,并补充说,大约 210 万美元从该平台的智能合约中被转移,但这并未影响当前 Aztec 网络上的用户或资产。
据DefiLlama称,此次漏洞利用是本月迄今为止至少 12 起其他漏洞利用事件中被盗价值 4400 万美元的加密货币中的最新一起。
6 月份迄今为止最大的一起事件是 Humanity Protocol 的私钥泄露,6 月 8 日损失了 3000 万美元;其次是Syscoin Bridge,前一天因伪造证明漏洞而被盗走 800 万美元。
加密安全公司 BlockSec 表示,攻击者利用了以太坊平台验证交易和结算交易方式的不匹配问题。
它表示,Aztec Connect 合约上的已验证交易“实际上并未与 ZK 证明强制执行的交易集绑定”,这使得其在以太坊上的验证路径和结算逻辑“可以以不同的方式解释交易列表”。
攻击者随后可以在以太坊上进行未经验证的交易,这些交易会在合约未验证的情况下记入价值,从而创建无担保余额,攻击者随后可以提取这些余额。攻击者对七种不同的资产重复了七次这样的操作。
攻击者盗走了 909 个以太币 ( $ ETH )、270,000 个Dai (Dai)、167 个包装质押的$ ETH以及其他一些加密货币。
此次攻击中被盗的部分资产。来源: CertiK
Aztec Network 是一个基于以太坊的、注重隐私的二层零知识(ZK)Rollup。Aztec Connect 是该平台的前身,于 2022 年作为 DeFi 桥接器推出。
Aztec Connect 于 2023 年 3 月停止运营,存款功能也已停止,团队将资源转移到下一代 Aztec Network。
“Aztec Labs 没有管理员密钥,也无法控制该系统;我们无法暂停或升级它,”该团队表示。
加密货币开发者“Param”表示,Aztec Connect 的智能合约已变得“完全不可更改”,无法再进行升级或暂停。
他们表示:“这起事件再次提醒我们,被遗弃的 DeFi 合约即使在数年后仍可能成为攻击目标。”
