Устаревший мост Aztec Connect, позволявший совершать приватные транзакции с протоколами децентрализованных финансов (DeFi), подвергся взлому. Злоумышленник вывел около $2,1 млн из старого смарт-контракта Эфириума.
Украденные активы — 909 ETH, 270 000 DAI, 167 обернутых эфиров для стейкинга ETH (wstETH) и небольшие суммы в других токенах, сообщили специалисты по безопасности CertiK. Команда Aztec Labs заявила, что расследует инцидент и причины уязвимости, затронувшей Aztec Connect. Разработчики уточнили, что активы были перемещены из неизменяемого контракта платформы. Однако пользователи не пострадали, поскольку мост не связан со смарт-контрактами, имеющими отношение к токену AZTEC стандарта ERC-20, и с действующей сетью Aztec Network, заверила команда проекта.
Протокол Aztec Connect был закрыт в марте 2023 года после того, как Aztec Labs стала работать над новой версией своей ориентированной на конфиденциальность сети. Aztec Connect открывал пользователям доступ к DeFi через приватный роллап ZK. После закрытия моста внесение депозитов было приостановлено, хотя у пользователей оставались активы на старой платформе.
Анонимный крипторазработчик под ником Param заявил, что позже контракты стали «полностью неизменяемыми», поэтому не могли обновиться. Команда Aztec Labs заявила, что у нее нет административных ключей, соответственно, она не может контролировать старую систему. В отличие от действующего протокола, в старой системе Aztec Connect не было оператора, который мог бы приостановить ее активность.
Учитывая, что часть альткоинов оставалась в системе, это привлекло внимание злоумышленников. Эксперты по безопасности BlockSec выяснили, что атака была направлена на смарт-контракт RollupProcessorV3 моста Aztec Connect в Эфириуме. Критическая уязвимость заключалась в несоответствии между тем, как система верифицировала транзакции, и тем, как они проводились в Эфириуме. То есть система подтверждения и логика расчетов считывали транзакции по-разному. Из-за таких расхождений злоумышленник смог создать фиктивные балансы, не обеспеченные реальными активами, а затем вывести средства. Эту схему хакер провернул семь раз с разными активами. Прежде чем воспользоваться уязвимостью, злоумышленник пополнил кошелек через криптомиксер Tornado Cash.
Недавно хакерской атаке подвергся децентрализованный проект идентификации Humanity Protocol, который потерял $32 млн. Злоумышленники скомпрометировали приватные ключи одного из участников фонда Humanity Foundation и получили доступ как минимум к 17 связанным с проектом кошелькам. На прошлой неделе неизвестные почти полностью опустошили пул вознаграждений платформы NovaBox на блокчейне Эфириума, украв 56,73 ETH.
Русский
العربية
Հայերեն
Azərbaycan dili
Беларуская мова
Български
简体中文
Nederlands
English
Eesti
Français
ქართული
Deutsch
עִבְרִית
Italiano
Қазақ тілі
Кыргызча
Latviešu valoda
Lietuvių kalba
Polski
Português
Română
Српски језик
Slovenčina
Slovenščina
Español
Тоҷикӣ
Türkçe
Українська
O‘zbekcha
יידיש