coinspot.io
Старая инфраструктура Aztec второй раз за несколько дней оказалась под атакой. Новый инцидент затронул уже не действующий продукт, а устаревший контракт, который продолжал хранить активы в блокчейне.
По оценке SlowMist, злоумышленник вывел около $2,15 млн. В составе украденных средств были 1 158 ETH, 150 000 DAI и небольшая сумма renBTC. Главный вывод аналитиков неприятен для всей индустрии: закрытый продукт не перестает быть риском, если в его контрактах остаются деньги.
Хакер обманул проверку роллапа
Предварительный разбор SlowMist указывает на ошибку в механизме проверки. Атакующий использовал ложное доказательство роллапа, после чего контракт принял его как корректное и выпустил активы из резервов.
Для обычного пользователя такая атака выглядит почти незаметно. В сети проходит транзакция, контракт выполняет заложенную логику, а средства уходят на адрес злоумышленника.
Проблема в том, что старая система все еще работала как код, хотя продукт давно перестал быть частью актуальной инфраструктуры. Именно в таких местах ошибки могут жить годами и ждать того, кто найдет способ их использовать.
Aztec не мог остановить вывод средств
Aztec Labs подтвердил взлом и сообщил, что средства ушли из неизменяемого смарт-контракта старого платежного продукта. Его вывели из эксплуатации еще в 2022 году.
Команда отдельно подчеркнула, что у нее не было административных ключей и функции остановки транзакций. Это значит, что разработчики не могли быстро поставить контракт на паузу или вмешаться после начала атаки.
Такая ситуация показывает обратную сторону неизменяемости. Смарт-контракт нельзя тихо изменить, и это защищает пользователей от произвола команды. Но если в коде остается уязвимость, а активы не выведены, остановить проблему бывает невозможно.
Это не тот же взлом, что и в воскресенье
Новый инцидент отличается от атаки на Aztec Connect, которая произошла несколькими днями ранее. Тогда из другого старого контракта также вывели около $2,1 млн.
Aztec Connect был приватным роллапом, который закрыли в марте 2023 года. После этого команда остановила депозиты и переключилась на развитие Aztec Network, следующей версии своей инфраструктуры.
Но закрытие продукта не означало полного исчезновения риска. В старых контрактах оставались пользовательские активы, и именно это сделало их привлекательной целью.
Заброшенная инфраструктура становится наградой для хакеров
Случай Aztec не единичный. Ранее в июне похожая история произошла с Raydium, где из устаревших пулов вывели около $1,3 млн.
Во всех этих случаях проблема похожа. Проект развивает новые версии, убирает старые интерфейсы и перестает активно поддерживать прежний код. Но контракт остается в сети, а вместе с ним остаются активы и возможные ошибки.
Blockful описала такие контракты как постоянные «награды» для хакеров. Если команда больше не следит за старым продуктом, а деньги внутри еще есть, у атакующих появляется понятная цель.
Почему закрыть продукт недостаточно
В традиционном ПО старую систему можно отключить. В блокчейне все сложнее. Смарт-контракт продолжает существовать, если он развернут в сети, а пользователи или резервы все еще связаны с ним.
Поэтому завершение продукта должно включать не только объявление и остановку новых депозитов. Нужны миграция активов, предупреждения для пользователей, мониторинг остатков и понятный срок закрытия старых путей вывода.
Если этого не сделать, старый контракт превращается в технический долг. Разница только в том, что этот долг может хранить реальные активы на миллионы долларов.
Риск особенно высок для приватных систем
Aztec работал с приватными переводами и роллап-инфраструктурой. Такие системы сложнее обычных DeFi-контрактов, потому что используют доказательства, специальные проверки и более сложную логику учета.
Чем сложнее механизм, тем выше шанс, что в нем останется нетривиальная ошибка. Особенно если продукт уже не развивается, а команда сфокусировалась на новой версии.
Это не значит, что приватные протоколы по определению небезопасны. Но для них особенно важны долгосрочный аудит, план закрытия старых систем и контроль активов, которые остаются в устаревших контрактах.
Пользователи тоже несут часть риска
Многие держатели средств не сразу выводят активы после закрытия продукта. Иногда сумма кажется небольшой, иногда пользователь просто забывает о старой позиции, а иногда не понимает, что контракт больше не поддерживается.
Для хакера это не имеет значения. Если в старой системе накопился общий баланс, она становится целью. Даже разрозненные остатки пользователей могут сложиться в крупную сумму.
Поэтому при закрытии моста, пула или роллапа лучше не оставлять средства «на потом». Если команда предлагает миграцию или вывод, откладывать это рискованно.
SlowMist советует выводить активы из старых контрактов
После атак SlowMist рекомендовала протоколам организованно переносить средства из устаревших контрактов. Это особенно важно, если код нельзя обновить или остановить.
Такой подход должен стать частью нормальной операционной безопасности. Проектам нужно думать не только о запуске новых продуктов, но и о безопасном завершении старых.
Для индустрии это болезненный, но необходимый урок. Старые контракты не исчезают из блокчейна сами. Если в них остаются активы, они продолжают быть частью поверхности атаки.
Что дальше?
Aztec нужно объяснить, какие устаревшие контракты еще могут содержать активы и какие меры команда предложит пользователям. После двух атак за неделю рынок будет ждать не только технического разбора, но и плана по снижению риска в старой инфраструктуре.
Для других протоколов это предупреждение. Если проект закрывает продукт, но не выводит активы из контрактов, он оставляет хакерам открытую возможность для поиска ошибок.
Главный вывод простой. Взлом Aztec показывает, что устаревший контракт может быть опаснее нового продукта. Его меньше проверяют, хуже мониторят и часто считают закрытой историей. Но пока в нем лежат средства, это не архив, а активная цель для атаки.