Крипто әлеміндегі жаңалықтар

18.06.2026
10:50

Aztec Connect тасталған хаттамасына тағы да шабуыл жасалды: хакерлер тағы $2,2 млн шығарып алды

Aztec Connect конфиденциалды транзакциялар хаттамасы тағы да шабуылға ұшырады. 18 маусымда зиянкес оның смарт-келісімшарттарынан криптовалютада шамамен $2,2 млн шығарып үлгерді. Бұл апта ішіндегі екінші оқиға — бірінші шабуыл 14 маусымда болды, сонда да шығын айтарлықтай болды.

Қайталама бұзудың мәліметтері

Бұл жолы хакер 1158 ETH, 150 000 DAI және шамамен 0,47 renBTC токенін ұрлады. BlockSec Phalcon және SlowMist қауіпсіздік сарапшылары шабуылдың escapeHatch (сөзбе-сөз — «апаттық люк») функциясындағы осалдық арқылы жүргізілгенін растады. Бұл механизм негізгі жүйе істен шыққан жағдайда пайдаланушылардың өз қаражатын шұғыл түрде шығаруына арналған еді. Алайда әзірлеушілер сыни қателік жіберді: функция кіру құқықтарын тексермеген. Негізінен, «есік» кез келген адамға ашық болды.

Шабуыл механизмі қарапайым, бірақ тиімді болды. Хакер смарт-келісімшартқа активтерге иелік етудің жалған «дәлелін» ұсынды, ал келісімшарт шынайылығын тексере алмай, оған бөтен қаражатты мойынсұнып аударды. Айта кетерлігі, осал кодтың өзі жобаның негізгі репозиторийінен 2023 жылы-ақ жойылған болатын. Алайда желіде орналастырылған келісімшарт өзгеріссіз қалды, ал «бэкдор» өз уақытын күтіп жүрді. Бұл бәрі әрекетсіз деп санайтын «өлі» кодтың кідіріс бомбасына айналуының классикалық мысалы.

Неліктен шабуылды тоқтату мүмкін болмады

Мәселенің түбірі Aztec Connect мәртебесінде жатыр. Бұл хаттама Ethereum-дағы DeFi-де жеке операцияларға арналған көпір болған, бірақ ол өткен жылы Aztec Labs командасы жаңа желіні әзірлеуге көшкен кезде пайдаланудан шығарылды. Жабылғаннан кейін әзірлеушілер басқару кілттерінен бас тартып, келісімшарттарды иммутабельді етті — яғни олардың коды блокчейнде мәңгі қатып қалды. Оны жаңартуға, түзетуге немесе тоқтата тұруға болмайды. Команданың араласып, ұрлықты тоқтатуға техникалық мүмкіндігі жоқ.

Оқиғаның AZTEC токеніне де, қазіргі Aztec желісіне де қатысы жоқ екенін атап өту маңызды — бұл толығымен оқшауланған, тасталған жүйе. Алайда бұл жағдай DeFi-дің жасырын қаупін тағы бір рет көрсетеді: тіпті «өлі» смарт-келісімшарттар да, егер оларда қаражат сақталса, нысана болып қала береді. DeFiLlama деректері бойынша, тек 2026 жылдың маусым айында кемінде 12 шабуыл нәтижесінде шамамен $44 млн ұрланған. Нарық жылдар бұрын жіберілген жобалау қателіктері үшін төлеуді жалғастыруда.

Сарапшы пікірі: Aztec Connect-ке жасалған шабуыл — бұл жай техникалық оқиға емес, индустрияның жүйелік мәселесі. «Жабылу» туралы хабарлайтын жобалар кілттерден бас тартып қана қоймай, өтімділікті толық көшіруді жүргізіп, ескірген келісімшарттарды жоюы керек. Миллиондаған доллары бар «тасталған» смарт-келісімшарттарды қалдыру — көше ортасында ақшасы бар сейфті ашық қалдырумен бірдей. Қауымдастық «пайдаланудан шығарудың» нақты стандарттарын әзірлемейінше, мұндай оқиғалар қайталана береді.