Хакер вывел $2,1 млн с неизменяемого смарт-контракта платформы Aztec Connect, поддержку которой команда прекратила в марте 2023 года. Пользователи текущей версии не пострадали.
Злоумышленник похитил 909 ETH, 270 000 DAI, 167 wstETH и небольшое количество других токенов.
Aztec Connect — предыдущая версия платформы, запущенная в 2022 году в качестве DeFi-моста. После прекращения поддержки проект перенаправил ресурсы на Aztec Network следующего поколения.
«Aztec Labs не владеет ключами администратора и не контролирует систему», — сообщила команда.
Разработчик Param пояснил, что смарт-контракты Aztec Connect «полностью неизменяемые» и их нельзя обновить или приостановить.
«Инцидент — еще одно напоминание о том, что „заброшенные“ DeFi-контракты могут стать мишенью даже спустя годы», — добавил он.
По теме: мост Verus-Ethereum взломали. Ущерб составил $11,58 млн
Детали атаки и статистика
Хакер воспользовался уязвимостью в логике верификатора ZK‑доказательств, оставшейся в неизменяемом контракте, указали в BlockSec.
Атака была нацелена на механизм обработки роллапов: злоумышленник смог сформировать такие входные данные, которые «обманули» логику верификатора ZK‑доказательств, и контракт разрешил вывод чужих средств без реальной проверки их источника в Ethereum.
В результате возникли фиктивные балансы, которые можно было вывести. Повторение схемы семь раз с разными активами показывает, что уязвимость была системной для этой функции, а не разовой ошибкой по одному токену.
Согласно DeFi Llama, инцидент стал 13 в июне. По итогам предыдущих 12 проекты лишились $43,93 млн. В их числе — Humanity Protocol из которого похитили $30 млн вследствие компрометации приватных ключей после заражения компьютера разработчика вредоносным ПО.
По теме: фишинг, дипфейки и атаки на цепочку поставок станут причиной взломов 2026 года — CertiK