Крипто әлеміндегі жаңалықтар

18.06.2026
12:35

Aztec Connect тасталған протоколы қайта шабуылға ұшырады: хакерлер тағы $2,2 млн шығарып алды

Бұрыннан «өлі» жоба болып саналатын Aztec Connect жеке транзакциялар хаттамасы қайтадан зұлымдықтың құрбаны болды. 18 маусымда хакерлер оның смарт-келісімшарттарынан шамамен $2,2 млн сомасындағы қосымша қаражатты шығарып үлгерді. Бұл хаттамаға соңғы аптадағы екінші соққы — бірінші шабуыл 14 маусымда болды.

Бұл жолы зұлымдық 1158 ETH, 150 000 DAI және шамамен 0,47 renBTC токенін ұрлады. Шабуыл әдісі алдыңғысын көп жағынан қайталады, бірақ басқа өтімділік пулына бағытталып, басқа кіру векторы арқылы жүзеге асырылды. Негізгі осалдық, алғашқы реттегідей, escapeHatch функциясында — апаттық шығару механизмінде болды.

«Апаттық люк» қалай жұмыс істейді және неге ол ашық қалды

EscapeHatch функциясы әзірлеушілер тарапынан пайдаланушыларға негізгі жүйе істен шыққан жағдайда өз активтерін алуға арналған резервтік арна ретінде қарастырылған болатын. Алайда кодта сыни қате жіберілді: құқықтарды тексеру болмады. Негізінен, кез келген адам бұл функцияны шақырып, активтерге иелік етудің «дәлелін» бұрмалап, басқалардың қаражатына үміткер бола алатын. Келісімшарт бұл жалған деректерге сөзсіз сеніп, қаражатты шабуылдаушыға жіберді.

Айта кету керек, әзірлеушілердің өзі осал механизмді негізгі кодтан бұрыннан алып тастаған. Бірақ желіде орналастырылған смарт-келісімшарт әлі де тексеру модулінің ескі нұсқасын қамтыды. Негізінен, бәрі белсенді емес деп санайтын кодта жылдар бойы баяу әрекет ететін бомба өз сағатын күтіп жатты.

Неліктен шабуылды тоқтату мүмкін болмады

Мәселенің түбірі Aztec Connect архитектурасында жатыр. Бұл 2023 жылы Aztec Labs командасы жаңа желіні әзірлеуге көшкен кезде пайдаланудан шығарылған тасталған өнім. Жоба жабылғаннан кейін әзірлеушілер басқару кілттерінен бас тартып, келісімшарттарды өзгермейтін (immutable) етіп жасады. Бұл кодтың желіде мәңгі қатып қалғанын білдіреді: оны жаңарту, түзету немесе кідірту мүмкін емес. Команданың араласып, ұрлықты тоқтатуға техникалық мүмкіндігі жоқ.

Инцидент AZTEC токеніне де, қолданыстағы Aztec желісіне де әсер етпейтінін атап өту маңызды — бұл толығымен оқшауланған жүйе. Алайда бұл жағдай DeFi экожүйесінің жасырын қаупін тағы бір рет көрсетеді: тіпті тасталған смарт-келісімшарттар да оларда қаражат сақталғанша нысана болып қалады. DeFiLlama деректері бойынша, тек 2026 жылдың маусым айында кемінде 12 шабуыл нәтижесінде шамамен $44 млн ұрланған.

Сарапшының пікірі: Aztec Connect оқиғасы — DeFi-дегі «мұра жетіспеушілігінің» классикалық мысалы. Жоба жабылып, келісімшарттар өзгермейтін болған кезде, кез келген жасырын осалдық бақыланбайтын бомбаға айналады. Қауымдастық смарт-келісімшарттардың «зейнеткерлік жасы» стандарттары туралы ойлануы керек: мәжбүрлі өтімділікті шығару немесе пайдаланылмайтын хаттамаларды автоматты түрде жою тетіктері.