Aztec-тің ескірген келісімшарты 2 миллион долларға бұзылды: хакер логикалық осалдықты пайдаланды

18 маусымда зұлымдық жасаушы Aztec L2-желісіндегі пайдаланылмайтын смарт-келісімшартқа сәтті шабуыл жасады. Менің бағалауымша, жалпы шығын сомасы шамамен $2,15 млн құрады. Оқиғаны CertiK сарапшылары жедел түрде анықтап, кейін Aztec Labs әзірлеушілер тобы растады.
Шабуылдың мәліметтері
Осы осалдық 2022 жылы жабылған ескірген Aztec Payments төлем өнімінде табылды. Хакер PrivateRollupBridge смарт-келісімшартының дәлелдемелерін тексерудегі логикалық қатені пайдаланды. Шабуылды жүзеге асыру үшін зұлымдық жасаушы небәрі 0,134 ETH жұмсады, бұл шамамен $230-ға тең. Нәтижесінде ол 1158 ETH, 150 000 DAI және 0,47 renBTC шығарып алды.
Айта кету маңызды, бұл оқиға Aztec желісінің ағымдағы нұсқасындағы пайдаланушылар мен активтерге әсер етпеді. Шабуыл тек жобаның қазіргі экожүйесінде қолданылмайтын ескірген келісімшартқа жасалды.
Қайталанатын осалдық
Бұл соңғы бірнеше күн ішінде Aztec-тің ескірген келісімшарттарын бұзудың екінші жағдайы. 14 маусымда белгісіз адамдар басқа ескі маршрутизатор келісімшартын босатып, $2,19 млн-ға жуық шығын келтірді. Aztec Labs өкілдері олардың әкімшілік кілттерге ие емес екенін және жүйені бақыламайтынын, сондықтан одан әрі шабуылдардың алдын алу үшін келісімшарттарды тоқтата немесе жаңарта алмайтынын атап өтті.
Сараптамалық талдау
Менің көзқарасым бойынша, Aztec жағдайы ескірген смарт-келісімшарттарды басқарудағы сыни мәселені көрсетеді. Өнім жабылғаннан кейін де, егер келісімшарттар өзгермейтін және бақыланбайтын болып қалса, олар хакерлер үшін тартымды нысанаға айналады. Бұл сонымен қатар $31 млн-ға шабуыл жасалған Humanity Protocol-тың жақындағы бұзылуын еске салады, бұл осал, бірақ белсенді емес смарт-келісімшарттарға шабуылдардың өсіп келе жатқан үрдісін көрсетеді. Барлық жобаларға толық аудит жүргізуді және мүмкін болса, тәуекелдерді азайту үшін ескірген келісімшарттарды деактивтендіруді немесе тоқтатуды ұсынамын.