Тасталған Aztec Connect протоколы қайта шабуылға ұшырады: хакерлер тағы $2,2 млн шығарып әкетті
Өлі протоколға қайта соққы: 18 маусымда шабуылдаушылар тасталған Aztec Connect-ті қайта бұзып, шамамен $2,2 млн ұрлады. Бұл апта ішіндегі екінші оқиға — бірінші шабуыл 14 маусымда болды. Бұл жолы хакер 1158 ETH, 150 000 DAI және шамамен 0,47 renBTC токенін шығарып алды. Шабуыл әдісі алдыңғыға ұқсас, бірақ балама кіру нүктесі арқылы басқа өтімділік пулына бағытталған.
Қайта бұзу қалай болды
Осылдық қайтадан escapeHatch функциясына — негізгі жүйе істен шыққан жағдайда пайдаланушыларға тікелей қаражат шығаруға арналған «авариялық люкке» байланысты болды. Мәселе мынада, бұл механизмнің қол жеткізу құқығын тексеруі болмаған. Негізінен, активтерге иелік етуді дәлелдей алатын кез келген адамға есік ашық болды.
Шабуылдаушы қаражатқа иелік етудің жалған «дәлелін» ұсынды, ал смарт-контрактта кірістірілген верификация болмағандықтан, оған басқалардың криптовалютасын жай ғана берді. Маңызды деталь: осал механизмді әзірлеушілер негізгі кодтан бұрыннан алып тастаған, бірақ желіде орналастырылған контракт әлі де ескі тексеру модулін қамтыған. Барлығы белсенді емес деп санайтын кодтағы саңылау жылдар бойы өз уақытын күтті.
Неліктен шабуылды тоқтату мүмкін болмады
Мәселенің түбірі — Aztec Connect мәртебесінде. Бұл протокол Ethereum-дағы жеке DeFi операцияларына арналған көпір болды, бірақ ол 2023 жылы Aztec Labs командасы жаңа желіге ауысқанда пайдаланудан шығарылды. Жабылғаннан кейін әзірлеушілер басқару кілттерінен бас тартып, контрактарды өзгермейтін (immutable) етті. Код желіде мәңгі қатып қалды: оны жаңарту, түзету немесе тоқтата тұру мүмкін емес. Команданың араласып, ұрлықты тоқтатуға техникалық мүмкіндігі жоқ.
Атап өту маңызды: оқиға AZTEC токеніне де, қазіргі Aztec желісіне де әсер етпейді — бұл толығымен оқшауланған жүйе. Бұл жағдай DeFi-дің жасырын қаупін тағы бір рет көрсетеді: тіпті тасталған смарт-контрактар да, оларда қаражат сақталғанша, нысана болып қала береді. DeFiLlama деректері бойынша, тек 2026 жылдың маусым айында кемінде 12 шабуыл нәтижесінде шамамен $44 млн ұрланған.
Сарапшының пікірі: «Aztec Connect оқиғасы — бұл тәуекелдерді жалғастыратын «өлі кодтың» классикалық мысалы. DeFi инвесторлары мен пайдаланушылары сабақ алуы керек: егер протокол жабылып, қаражат immutable-контрактарда қалса, олар іс жүзінде жоғары қауіп аймағында болады. Жаңарту мүмкіндігі болмаса, мұндай жүйелер баяу әрекет ететін бомбаға айналады».