Крипто әлеміндегі жаңалықтар

18.06.2026
12:49

Aztec Connect тасталған хаттамасына тағы да шабуыл жасалды: хакерлер тағы $2,2 млн ұрлап кетті

Бұрыннан әрекетсіз деп саналған Aztec Connect құпия транзакциялар хаттамасы қайтадан бұзушылардың құрбаны болды. 18 маусымда хакерлер оның смарт-келісімшарттарынан шамамен $2,2 млн сомасындағы қосымша қаражатты шығарып үлгерді. Бұл хаттамаға соңғы аптадағы екінші соққы — бірінші шабуыл 14 маусымда болды.

Қайталама бұзудың мәліметтері

Бұл жолы бұзушылардың қолына 1158 ETH, 150 000 DAI және шамамен 0,47 renBTC токені өтті. Шабуыл механизмі алдыңғыға ұқсас болды, бірақ басқа өтімділік пулына бағытталып, басқа кіру нүктесі арқылы жүзеге асырылды. Осыалдықтың түбірі escapeHatch функциясында — негізгі жүйе істен шыққан жағдайда пайдаланушыларға қаражатты тікелей шығаруға мүмкіндік беруі тиіс «апаттық люкте» жатыр. Мәселе мынада: бұл функцияда қол жеткізу құқықтарын тексеру толығымен өшірілген. Негізінде, есік кез келген адамға ашық болды.

Бұзушы смарт-келісімшартқа активтерге иелік етудің жалған «дәлелін» ұсынды, ал келісімшарт тиісті тексеру жүргізбей, оған бөтен криптовалюталарды аударды. Ең маңыздысы, Aztec Labs командасы бұл осал механизмді репозиторийдің негізгі кодынан бұрыннан алып тастаған. Алайда желіде орналастырылған келісімшарт әлі де ескі, «ұйықтап жатқан» модульді қамтыды. Бұл жеткілікті болды — осалдық жылдар бойы әрекетсіз деп саналған кодта өз кезегін күтіп тұрды.

Неліктен шабуылды тоқтату мүмкін болмады

Негізгі фактор — хаттаманың мәртебесі. Aztec Connect Ethereum-дағы жеке DeFi операцияларына арналған көпір болды, бірақ ол 2023 жылы команда жаңа жобаға ауысқан кезде пайдаланудан шығарылды. Жабылғаннан кейін әзірлеушілер басқару кілттерінен бас тартып, келісімшарттарды өзгермейтін (immutable) етті. Бұл кодтың желіде мәңгі қатып қалғанын білдіреді: оны жаңарту, түзету немесе үзіліске қою мүмкін емес. Aztec Labs командасының араласып, ұрлықты тоқтатуға техникалық мүмкіндігі жоқ.

Атап өту маңызды: оқиға AZTEC токеніне де, қазіргі белсенді Aztec желісіне де әсер етпейді — бұл мүлдем оқшауланған жүйе. Бұл жағдай DeFi-дің жасырын қаупін еске салады: тіпті тасталған смарт-келісімшарттар да қаражат сақталғанша нысана болып қала береді. DeFiLlama деректері бойынша, 2026 жылдың маусым айында ғана кемінде 12 шабуыл нәтижесінде шамамен $44 млн ұрланған.

Сарапшының пікірі: Бұл оқиға — DeFi-дегі «зомби-тәуекелдің» классикалық мысалы. Әзірлеушілер басқару кілттерінен бас тарту хаттаманы қауіпсіз етпейтінін, керісінше оларды қауіп-қатерге жауап беру мүмкіндігінен айыратынын ұмытады. Өтімділігі бар кез келген код — белсенді нысана, ал инвесторлар «өлі» келісімшарттарда қаражат қалдыра отырып, мұны ескеруі керек. Aztec Connect тарихы — тасталған хаттамалардың «қауіпсіздігіне» сенетіндердің бәріне ескерту.