Ұмытылған Aztec Connect келісімшартын тағы да тонады: хакерлер тағы $2,2 млн ұрлап кетті
Тасталған Aztec Connect құпиялылық хаттамасы шығын әкелуді жалғастыруда. 18 маусымда бұзушылар оған қайта шабуыл жасап, шамамен $2,2 млн шығарып әкетті. Бұл апта ішіндегі екінші оқиға: бірінші шабуыл 14 маусымда болды, енді хакер өтімділік пулдарын босатудың тағы бір жолын тапты.
Бұл жолы құрбан болған басқа қаражат пулы болды. Хакер 1158 ETH, 150 000 DAI және шамамен 0,47 renBTC токенін ұрлады. Екі шабуылдың жалпы залал сомасы $4 млн-нан асады және бұл бүкіл DeFi экожүйесі үшін дабыл сигналы болып табылады.
Осыалдық қалай жұмыс істеді
Мәселенің түбірі escapeHatch функциясында жатыр – бұл бір кездері негізгі жүйе істен шыққан жағдайда пайдаланушылардың қаражатын шығаруға арналған «авариялық люк» ретінде ойластырылған механизм. Aztec әзірлеушілері 2023 жылы жобаны жауып жатқанда, бұл функцияны негізгі кодтан алып тастады. Алайда, талдау көрсеткендей, желіде орналастырылған смарт-келісімшарт әлі де ескі тексеру модулін қамтыған, ол кез келген қол жеткізу құқығын тексеруден айырылған.
Негізінен, хакер верификацияның жоқтығын пайдаланды: ол активтерге иелік етудің жалған «дәлелін» ұсынды, ал келісімшарт шынайылығын тексере алмай, басқалардың қаражатын сөзсіз беріп жіберді. Бұл олқылық жылдар бойы белсенді емес деп саналған кодта өз кезегін күтіп тұрды.
Неліктен шабуылды тоқтату мүмкін болмады
Бұл жағдайдың басты трагедиясы – Aztec Connect архитектуралық ерекшелігінде. Жоба жабылғаннан кейін Aztec Labs командасы басқару кілттерінен бас тартты, бұл келісімшарттарды толығымен өзгермейтін (immutable) етті. Бұл кодтың желіде мәңгілікке қатып қалғанын білдіреді: оны жаңарту, түзету немесе кідірту мүмкін емес. Әзірлеушілердің араласып, ұрлықты тоқтатуға техникалық мүмкіндігі жоқ.
Атап өту маңызды: бұл оқиға AZTEC токеніне немесе қолданыстағы Aztec желісіне еш қатысы жоқ. Бұл толығымен оқшауланған, өлі жүйе. Бірақ бұл жағдай DeFi-дің жасырын қаупінің айқын мысалы: тіпті тасталған смарт-келісімшарттар да, оларда қаражат сақталғанша, тартымды нысан болып қала береді. DeFiLlama деректері бойынша, тек 2026 жылдың маусымында кемінде 12 шабуыл нәтижесінде шамамен $44 млн ұрланған.
Аналитик ретіндегі менің пікірім: Бұл оқиға – нашар код туралы ғана емес. Бұл бүкіл сала үшін іргелі сабақ. Қатып қалған қаражаты бар тасталған келісімшарттар – «баяу әрекет ететін бомбалар». Жоба командалары өнімді жауып жатқанда «өзін-өзі жою» немесе мәжбүрлі түрде өтімділікті шығару механизмдерін енгізуі керек. Әйтпесе, хакерлер бәрін түбіне дейін тазартқанша, біз мұндай оқиғаларды қайта-қайта көретін боламыз.