Aztec-тің ескірген келісімшарты $2 млн-ға бұзылды: оқиғаны талдау және L2 экожүйелеріне арналған сабақтар
18 маусымда екінші деңгейдегі Aztec желісі кезекті қауіпсіздік оқиғасына тап болды: пайдаланылмайтын смарт-келісімшарт сәтті бұзылды. Болжалды шығын шамамен $2,15 млн құрады. Бұл оқиға блокчейн инфрақұрылымындағы legacy-код мәселелеріне қайта назар аудартты.
Шабуылдың егжей-тегжейлері: бұл қалай болды
CertiK аналитиктері алғашқы болып күдікті белсенділікті анықтады, содан кейін Aztec Labs командасы бұзылу фактісін ресми түрде растады. Осы осалдық 2022 жылы жабылған ескірген Aztec Payments төлем өнімінде табылды. Зерттеу деректері бойынша, хакер PrivateRollupBridge смарт-келісімшартының дәлелдемелерін тексерудегі логикалық қатені пайдаланған. Шабуылды жүзеге асыруға зиянкес бар болғаны 0,134 ETH (~$230) жұмсаған.
Ауқымы мен салдары
Бұзылу нәтижесінде 1158 ETH, 150 000 DAI және 0,47 renBTC шығарылды. Бұл оқиға Aztec-тің ағымдағы желісіндегі пайдаланушылар мен активтерге әсер етпегенін атап өту маңызды — шабуыл тек белсенді емес, бірақ әлі де орналастырылған келісімшартқа бағытталған.
Контекст: апта ішіндегі екінші шабуыл
Бұл қысқа мерзім ішіндегі екінші жағдай. 14 маусымда белгісіз біреулер басқа ескірген маршрутизатор келісімшартын $2,19 млн-ға жуық босатты. Aztec Labs өкілдері әкімшілік кілттерге ие емес және жүйені бақыламайтынын, бұл келісімшарттарды қатыруға немесе шабуылдардың алдын алу үшін жаңартулар шығаруға мүмкіндік бермейтінін атап өтті.
Естеріңізге сала кетейін, 8 маусымда хакерлер Humanity Protocol жобасына қатысты әмияндарды бұзды, шығын шамамен $31 млн құрады.
Менің талдауым мен ұсыныстарым
Бұл жағдай — DeFi-дегі «өлі кодпен» байланысты тәуекелдердің классикалық мысалы. Тіпті жабық өнімдер блокчейнде өмір сүруін жалғастырады, және егер оларда басқару механизмдері (мысалы, әкімшілік кілттер) болмаса, олар оңай нысанаға айналады. Максималды орталықсыздандыруға ұмтылатын L2-желілері мен протоколдары үшін пайдаланылмайтын келісімшарттарды толық жою немесе бұғаттау процедураларын енгізу өте маңызды. Әйтпесе, шығын жедел әрекет ету мүмкіндігі жоқ команда мен қауымдастықтың мойнына түсетін мұндай шабуылдардың қайталануын байқау қаупі бар.