Хакер өлі протоколды тонады: $2,1 млн-дық Aztec Connect эксплойті
14 маусымда Aztec Connect платформасынан $2,1 миллионнан астам қаражат ұрланды. Шабуылдаушы смарт-келісімшарттың дәлелдемелерді тексеру (proof verification) механизміндегі сыни осалдықты пайдаланды. Бұл оқиға — ұзақ уақыт бойы қолданылмаған протоколдардағы «ұйықтап жатқан» осалдықтардың жылдар өткен соң қалай белсендірілуі мүмкін екендігінің айқын мысалы.
Блокчейн қауіпсіздігі мамандары күдікті транзакцияны анықтап, оны желіде жедел белгіледі. Талдау көрсеткендей, смарт-келісімшарт функциясы дәлелдеменің тек басын ғана тексеріп, деректердің басқа бөлігіндегі токендерді аудару нұсқауларын тиісті бақылаусыз қалдырған. Бұл олқылық шабуылдаушыға қаражатты шығару механизмін ауыстыруға және шамамен $2,19 миллионды ұрлауға мүмкіндік берді.
Өлі протокол — тірі қауіп
Aztec қоры Aztec Connect-тегі ықтимал эксплойт туралы хабарлама алғанын растады. Команда бұл оқиғаның ERC-20 стандартындағы AZTEC токеніне және Aztec желісінің қолданыстағы смарт-келісімшарттарына әсер етпейтінін атап өтті. Сонымен қатар, әзірлеушілер Aztec Connect үш жыл бұрын жұмысын тоқтатқанын және Aztec Labs бұдан былай бұл протоколды басқармайтынын хабарлады. Оларда әкімшілік кілттер жоқ және жүйені тоқтата немесе жаңарта алмайды.
«Aztec Labs-те әкімшілік кілттер жоқ және ол жүйені бақыламайды. Оны тоқтата немесе жаңарта алмаймыз», — деді әзірлеушілер.
Бұл бұзушылық Raydium (RAY) эксплойтынан бірнеше күн өткен соң, хакерлер Solana (SOL) желісіндегі бес ескірген өтімділік пулынан шамамен $1,3 миллионды шығарған кезде болды. Соңғы шабуыл осы айдағы бұзушылықтар сериясының кезектісі болды. DeFiLlama деректері бойынша, маусым басынан бері жалпы шығын $43,93 миллионға жетті.
Сарапшы пікірі: Бұл жағдай — «өлі» протоколдардың нақты қауіп төндіретінін еске салады. Смарт-келісімшарттар блокчейнде қалғанша, олар әлеуетті нысана болып қала береді. Инвесторлар мен әзірлеушілер болашақта оларды пайдалану мүмкіндігін болдырмау үшін мұндай келісімшарттарды «жерлеу» рәсімдері туралы байыпты ойлануы керек.