Ұмытылған, бірақ қорғансыз емес: Хакер үш жыл бұрын жабылған Aztec Connect протоколынан $2,1 млн шығарып алды
14 маусымда DeFi-дің түбегейлі мәселесін тағы бір рет еске салатын оқиға тіркелді: код қартаймайды, бірақ осалдықтар мәңгі қалады. Шабуылдаушы үш жыл бұрын ресми түрде жабылып, тасталған Aztec Connect протоколының смарт-келісімшарттарынан $2,1 миллионнан астам қаражатты шығарып үлгерді.
Блокчейн қауіпсіздігі мамандары қаражаттың жоғалуына әкелген күдікті транзакцияны анықтады. Бұзу себебі смарт-келісімшарт механизміндегі дәлелдемелердің (proofs) толық емес тексерілуінде жатыр. Негізгі қателік келісімшарттың дәлелдеменің тек басын ғана тексеріп, деректердің басқа бөлігіндегі токендерді аудару нұсқауларын елемеуі болды. Бұл тексеру мен орындау логикасының сәйкес келмеуінің классикалық жағдайы, ол шабуылдаушыға қаражат шығару механизмін ауыстыруға және келісімшарт тұрғысынан заңды түрде шамамен $2,19 млн шығаруға мүмкіндік берді.
Aztec командасының реакциясы
Aztec қоры ықтимал эксплойт туралы хабарлама алғанын растады. Команда бұл оқиғаның ағымдағы AZTEC (ERC-20) токеніне және Aztec негізгі желісінің белсенді келісімшарттарына әсер етпейтінін атап өтті. Дегенмен, негізгі мәселе Aztec Labs компаниясының Aztec Connect протоколын енді басқармауында. Әзірлеушілердің айтуынша: «Aztec Labs-те әкімшілік кілттер жоқ және жүйені басқара алмайды. Оны тоқтата да, жаңарта да алмаймыз». Бұл ескірген келісімшарттарда тұрып қалған немесе орналасқан қаражаттың іс жүзінде пайдаланудан қорғансыз қалғанын білдіреді.
Бұл бұзу жалғыз жағдай емес. Ол Solana желісіндегі Raydium (RAY) эксплойтынан бірнеше күн өткен соң болды, онда хакерлер бес ескірген өтімділік пулынан шамамен $1,3 млн шығарды. Аналитикалық платформалардың деректері бойынша, маусым айының басынан бері DeFi-дегі хакерлік шабуылдардан келген жалпы шығын $43,93 млн-нан асты.
Менің талдауым: Бұл оқиға бүкіл қауымдастық үшін қатаң сабақ. Ол «өлі» протоколдардың блокчейндегі мұрағаттық жазбалар ғана емес, белсенді нысаналар екенін көрсетеді. Бір рет орналастырылған кез келген смарт-келісімшарт, егер оның логикасында олқылық болса, шабуылдарға осал болып қалады. Пайдаланушылар мен жоба командалары ескірген келісімшарттардан қаражатты жоюға және көшіруге өте мұқият қарауы керек. Жаңарту мүмкіндігінсіз «ұйықтап жатқан» протоколдарда активтерді қалдыру – оларды жоғалтудың тікелей жолы.