Aztec ескірген келісімшартындағы осалдық $2 млн жоғалтуға әкелді: оқиғаның егжей-тегжейлі талдауы
18 маусымда Aztec екінші деңгей желісінде пайдаланылмаған смарт-келісімшарт бұзылып, шамамен $2,15 млн шығын келтірілді. Бұл оқиға 2022 жылы тоқтатылған ескірген Aztec Payments төлем өніміне әсер етті. Атап өту маңызды, шабуыл ағымдағы пайдаланушыларға және желінің жаңартылған нұсқасындағы активтерге әсер еткен жоқ.
Аномальды белсенділікті алғаш рет CertiK сарапшылары байқады, содан кейін Aztec Labs әзірлеушілер тобы бұзу фактісін растады. Осы осалдық PrivateRollupBridge келісімшартының дәлелдемелерін тексеру логикасынан табылды. Шабуылдаушы шабуылды жүзеге асыруға небәрі 0,134 ETH (шамамен $230) жұмсады, бұл код өзгеріссіз және қолдаусыз қалған кезде осындай осалдықтарды пайдалану үшін өте төмен кіру шегін көрсетеді.
Нәтижесінде хакер 1158 ETH, 150 000 DAI және 0,47 renBTC — жалпы сомасы $2 млн-нан асатын активтерді шығарып алды. Айта кету керек, бұл Aztec үшін соңғы бірнеше күндегі екінші оқиға. 14 маусымда тағы бір ескірген маршрутизатор келісімшарты $2,19 млн-ға жуық қаражаттан айырылды.
Менің ойымша, негізгі мәселе — Aztec Labs өкілдерінің әкімшілік кілттерге ие болмауы және жүйені бақыламауы. Бұл команданың келісімшарттарды тоқтата алмайтынын немесе одан әрі шабуылдардың алдын алу үшін жаңарту шығара алмайтынын білдіреді. Орталықтандырылмаған шешімдерге тән мұндай архитектура ескі, пайдаланылмайтын және пайдалануға ашық қалған смарт-келісімшарттарға келгенде Ахиллес өкшесіне айналады.
Салыстыру үшін, 8 маусымда хакерлер Humanity Protocol жобасына қатысты әмияндарды бұзып, $31 млн шығын келтірді. Бұл оқиғалар өсіп келе жатқан үрдісті көрсетеді: зиянкестер қолдау мен жаңартулардың болмауы оларды оңай олжаға айналдыратын тасталған келісімшарттарды белсенді түрде іздейді. Нарық болашақта осындай шығындардың алдын алу үшін ескірген смарт-келісімшарттардан қаражатты өшіру немесе автоматты түрде шығару тетіктерін шұғыл енгізуі қажет.