週日,一個攻擊者利用 Aztec Connect 的驗證功能,導致這個已棄用的去中心化金融平臺被盜走了價值約 210 萬美元的加密貨幣。
Aztec Labs 週日在 X 上發佈消息稱,他們正在“調查可能影響 Aztec Connect 的漏洞”,並補充說,大約 210 萬美元從該平臺的智能合約中被轉移,但這並未影響當前 Aztec 網絡上的用戶或資產。
據DefiLlama稱,此次漏洞利用是本月迄今為止至少 12 起其他漏洞利用事件中被盜價值 4400 萬美元的加密貨幣中的最新一起。
6 月份迄今為止最大的一起事件是 Humanity Protocol 的私鑰洩露,6 月 8 日損失了 3000 萬美元;其次是Syscoin Bridge,前一天因偽造證明漏洞而被盜走 800 萬美元。
加密安全公司 BlockSec 表示,攻擊者利用了以太坊平臺驗證交易和結算交易方式的不匹配問題。
它表示,Aztec Connect 合約上的已驗證交易“實際上並未與 ZK 證明強制執行的交易集綁定”,這使得其在以太坊上的驗證路徑和結算邏輯“可以以不同的方式解釋交易列表”。
攻擊者隨後可以在以太坊上進行未經驗證的交易,這些交易會在合約未驗證的情況下記入價值,從而創建無擔保餘額,攻擊者隨後可以提取這些餘額。攻擊者對七種不同的資產重複了七次這樣的操作。
攻擊者盜走了 909 個以太幣 ( $ ETH )、270,000 個Dai (Dai)、167 個包裝質押的$ ETH以及其他一些加密貨幣。
此次攻擊中被盜的部分資產。來源: CertiK
Aztec Network 是一個基於以太坊的、注重隱私的二層零知識(ZK)Rollup。Aztec Connect 是該平臺的前身,於 2022 年作為 DeFi 橋接器推出。
Aztec Connect 於 2023 年 3 月停止運營,存款功能也已停止,團隊將資源轉移到下一代 Aztec Network。
“Aztec Labs 沒有管理員密鑰,也無法控制該系統;我們無法暫停或升級它,”該團隊表示。
加密貨幣開發者“Param”表示,Aztec Connect 的智能合約已變得“完全不可更改”,無法再進行升級或暫停。
他們表示:“這起事件再次提醒我們,被遺棄的 DeFi 合約即使在數年後仍可能成為攻擊目標。”
