2024 年 6 月 17 日 – 上周末,来自已停止使用的 Aztec Connect 协议的遗留智能合约被利用,价值约 210 万美元,价值约 909 ETH,这鲜明地提醒人们去中心化金融 (DeFi) 中存在持久的风险。该事件发生在产品本身正式关闭近三年后。
该漏洞针对的是不可变的 RollupProcessorV3 合约,该合约是前 Aztec Connect 注重隐私的第 2 层网络的核心组件。 Aztec Connect 已于 2023 年 3 月被弃用并停止运营,这意味着受损的基础设施完全独立于 Aztec 当前的网络开发。
这种区别至关重要。这次攻击并不是对 Aztec 主动系统的破坏,而是对一份已停止、不可升级的合约的利用,该合约仍在链上,资产被锁定在其中。据报道,Aztec Labs 没有管理密钥来干预、暂停合约或收回资金——这是 DeFi 中常见的不可变智能合约设计的直接后果。
“此案凸显了加密货币中一个安静但重大的风险:废弃合约,”一位 DeFi 安全分析师表示。 “项目日落,团队继续前进,但如果合同是不可变的并且具有价值,那么它永远是区块链上的实时目标。”
最初报告中引用的安全研究人员将该漏洞与合约中的零知识 (ZK) 证明验证逻辑中的缺陷联系起来。据称,该错误未能将经过验证的证明正确绑定到特定交易操作,从而使攻击者能够耗尽剩余资金。
持久性链上合约的概念图。 (来源:示例图像)
更广泛的教训远远超出了阿兹特克人的范围。加密生态系统中散布着旧桥、金库、质押合约和代币系统,这些系统在前端界面下线或开发团队解散后很长时间仍保留资金。这些合约通常会成为“软目标”,因为它们可能超出持续的安全监控范围。
对于用户来说,该事件是一个重要的警告:项目的“关闭”并不等于剩余资金的安全。最安全的做法是主动从已弃用或日落协议中撤回所有资产。当网站消失时,遗留余额很容易被遗忘,但基础合约仍然可以公开访问和执行。
该事件还迫使协议开发人员制定更强大的提款提醒活动和正式的日落程序,特别是对于曾经管理大量用户存款的系统。随着 DeFi 的成熟,管理智能合约的生命周期及其相关风险变得与构建智能合约一样重要。
本报告基于区块链分析和安全来源的信息。