Хакерлер тасталған Aztec Connect-ті тағы да тазартты: тағы $2,2 млн жоғалды
Ұзақ уақыт бойы "өлі" деп саналған Aztec Connect хаттамасы шығын әкелуін жалғастыруда. 18 маусымда зұлымдық жасаушылар оның смарт-келісімшарттарына екінші соққы беріп, шамамен тағы $2,2 млн шығарып алды. Бұл 14 маусымдағы бірінші шабуылдан небәрі төрт күн өткен соң болды, бұл жағдайды бүкіл DeFi индустриясы үшін ерекше көрсеткіш етеді.
Бұл жолы хакер 1158 ETH, 150 000 DAI және шамамен 0,47 renBTC ұрлады. Шабуыл әдісі алдыңғыға ұқсас болды, бірақ зұлымдық жасаушы басқа кіру нүктесін пайдаланып, өтімділіктің басқа пулын нысанаға алды.
"Апаттық люктің" Ахиллес өкшесі
Осы осалдық escapeHatch функциясында жасырынған еді — бұл теория жүзінде негізгі жүйе істен шыққан жағдайда пайдаланушыларға ақшаны шұғыл шығаруға мүмкіндік беретін механизм. Мәселе мынада: бұл функцияда қол жеткізу құқықтарын тексеру мүлдем болмаған. Шын мәнінде, есік оны қалай қағуды білетін кез келген адамға ашық болды.
Дөрекі тілмен айтқанда, жүйе пайдаланушының шығаруға тырысып жатқан активтерге шынымен ие екенін растауы керек еді. Бірақ кодтағы қателікке байланысты бұл рәсімді айналып өтуге болатын. Хакер жай ғана жалған иелік "дәлелін" ұсынды, ал келісімшарт еш ойланбастан оған бөтен криптовалюталарды берді.
Ең алаңдатарлығы: әзірлеушілер бұл осал модульді негізгі кодтан бұрыннан алып тастаған. Алайда желіде орналастырылған келісімшарт әлі де тексеру модулінің ескі, "тесік" нұсқасын қамтыған. Олқылық жылдар бойы белсенді емес деп саналған кодта өз сағатын күтіп жатты.
Неліктен ұрлықты тоқтату мүмкін болмады
Мәселенің түбірі — Aztec Connect бұрыннан тасталған өнім. Хаттама 2023 жылы, Aztec Labs командасы жаңа желіге ауысқан кезде пайдаланудан шығарылды. Жабылғаннан кейін әзірлеушілер басқару кілттерінен бас тартып, келісімшарттарды өзгермейтін (immutable) етті. Бұл кодтың желіде мәңгілікке қатып қалғанын білдіреді: оны жаңарту, түзету немесе кідірту мүмкін емес. Команданың араласып, ұрлықты тоқтатуға техникалық мүмкіндігі жоқ.
Маңызды жайт: бұл оқиға AZTEC токеніне немесе жұмыс істеп тұрған Aztec желісіне әсер етпейді — бұл мүлдем бөлек жүйе. Алайда бұл жағдай DeFi-дің жасырын қаупін тағы бір рет көрсетеді: тіпті тасталған смарт-келісімшарттар да оларда ақша сақталғанша нысана болып қала береді. DeFiLlama деректері бойынша, тек 2026 жылдың маусым айында кемінде 12 шабуыл нәтижесінде шамамен $44 млн ұрланған.
Аналитик пікірі: Бұл оқиға нарықтың барлық қатысушылары үшін қатаң сабақ. Өтімділігі бар "ұмытылған" келісімшарттар — бұл баяу жүретін бомба. Қауымдастық ескірген хаттамаларды "кәдеге жарату" стандарттарын әзірлемейінше (мысалы, басқару кілттерінен бас тартқанға дейін пайдаланушылардың ақшаны мәжбүрлеп шығаруы), мұндай оқиғалар қайталана береді. "Өлі" пулдарға жаңа, тексерілмеген жобаларға қарағандай мұқият болу керек.