Aztec Connect-ке қайта соққы: хакерлер тасталған протоколдан тағы $2,2 млн шығарып алды
Aztec Connect құпия хаттамасының тасталған коды қылмыскерлердің назарын аударуды жалғастыруда. 18 маусымда мен оның смарт-келісімшарттарына жаңа шабуылды тіркедім, нәтижесінде криптовалютада шамамен $2,2 млн ұрланды. Бұл 14 маусымдағы бұзушылықтан кейінгі апта ішіндегі екінші оқиға, бұл хакерлер белсенді түрде пайдаланып жатқан жүйелік осалдықты көрсетеді.
Қайталанатын ұрлық қалай болды
Бұл жолы шабуылдаушы 1158 ETH, 150 000 DAI және шамамен 0,47 renBTC токенін шығарды. Шабуыл әдісі алдыңғысын қайталайды: хакер escapeHatch (апаттық люк) функциясындағы осалдықты қайта пайдаланды. Бұл механизм негізгі жүйе істен шыққан жағдайда пайдаланушыларға қаражатты тікелей шығаруға мүмкіндік беретін қосалқы шығу ретінде жасалған болатын. Дегенмен, сыни қате рұқсаттарды тексерудің болмауында болды — есік кез келген адамға ашық еді.
Эксплойттің мәні қарапайым: жүйе пайдаланушының шығаруға тырысатын активтерге ие екенін растауы керек еді. Кодтағы ақауға байланысты хакер жалған «иелік дәлелін» ұсына алды, ал келісімшарт тиісті тексеру жүргізбей, оған бөтен қаражатты берді. Айта кету керек, әзірлеушілер осал механизмді негізгі кодтан бұрын алып тастаған, бірақ желіде орналастырылған келісімшарт әлі де ескі тексеру модулін қамтыған. Негізінде, олқылық жылдар бойы бәрі белсенді емес деп санаған кодта өз сағатын күтіп жатты.
Неліктен шабуылды тоқтату мүмкін болмады
Мәселенің түбірі Aztec Connect мәртебесінде жатыр. Бұл 2023 жылы Aztec Labs командасы жаңа желіге ауысқан кезде пайдаланудан шығарылған бұрыннан тасталған өнім. Жабылғаннан кейін әзірлеушілер басқару кілттерінен бас тартты, ал келісімшарттар өзгермейтін (immutable) болды. Бұл кодтың желіде мәңгі қатып қалғанын білдіреді: оны жаңарту, түзету немесе тоқтата тұру мүмкін емес. Команданың араласып, ұрлықты тоқтатуға техникалық мүмкіндігі жоқ.
Бұл оқиға AZTEC токеніне де, қазіргі Aztec желісіне де әсер етпейтінін атап өту маңызды — бұл мүлдем бөлек жүйе. Дегенмен, бұл жағдай DeFi-дің жасырын қаупін тағы бір рет көрсетеді: тіпті тасталған смарт-келісімшарттар да ақша сақталғанша нысана болып қала береді. DeFiLlama деректері бойынша, тек 2026 жылдың маусымында кемінде 12 шабуыл нәтижесінде шамамен $44 млн ұрланған.
Сарапшының пікірі: Бұл оқиға «ұмытылған» хаттамалардың экожүйе үшін баяу әрекет ететін бомбаға айналуының айқын мысалы. Пайдаланушылар кез келген смарт-келісімшарттармен, әсіресе жоба ресми түрде қолдауды тоқтатқан болса, өзара әрекеттесу кезінде тәуекелдерді сыни тұрғыдан бағалауы керек. Кодты жаңарту мүмкіндігінің болмауы — қорғаныс емес, егер келісімшартта активтер қалса, өлімге әкелетін осалдық.