Aztec ескі смарт-келісімшарты $2,15 млн көлеміндегі хакерлік шабуылдың құрбаны болды

2026 жылғы 18 маусымда Aztec L2 желісінің пайдаланылмайтын смарт-келісімшартына шабуыл жасалғаны анықталды. Менің бағалауымша, зиянкес шамамен $2,15 млн сомасындағы активтерді шығарып әкеткен.
Оқиға алдымен аналитикалық жүйелермен анықталды, содан кейін Aztec Labs командасы бұзу фактісін растады. Осыған ұқсас осалдық 2022 жылы жабылған ескірген Aztec Payments төлем өнімінен табылды. Атап өту маңызды: шабуыл ағымдағы пайдаланушыларға және жобаның өзекті желісіндегі активтерге әсер етпеді.
Шабуылдың егжей-тегжейлері
Хакер PrivateRollupBridge смарт-келісімшартының дәлелдемелерді тексеру логикасындағы осалдықты пайдаланды. Шабуылды жүзеге асыру үшін зиянкес небәрі 0,134 ETH (~$230) жұмсады. Нәтижесінде ол 1158 ETH, 150 000 DAI және 0,47 renBTC шығарып үлгерді.
Айта кетерлігі, бұл Aztec үшін қысқа уақыт ішіндегі екінші қауіпсіздік оқиғасы. 14 маусымда басқа ескірген маршрутизатор келісімшарты $2,19 млн-ға жуық сомаға босатылды. Әзірлеушілер әкімшілік кілттерге ие емес екенін және жүйені бақыламайтынын, сондықтан келісімшарттарды тоқтата алмайтынын немесе шабуылдың алдын алу үшін жаңарту шығара алмайтынын атап өтті.
Менің талдауым: Бұл оқиға — DeFi-дегі ескі келісімшарттарға байланысты тәуекелдердің айқын мысалы. Жоба командасының бақылауының болмауы пайдаланушыларды өнім жабылғаннан кейін жылдар өткен соң анықталуы мүмкін осалдықтар алдында қорғансыз қалдырады. Бұл ескі келісімшарттарды мұқият аудиттеу және автоматты түрде өшіру тетіктерінің қажеттілігін көрсетеді.