6月14日，攻击者从 Aztec Connect 中盗走了逾 210 万美元，利用的是该协议在三年前关闭的一处隐私协议验证缺陷。

CertiK 预警 Aztec Connect 资金被掏空

CertiK 在攻击发生数小时内就发现了可疑活动，并标记出以太坊上 RollupProcessorV3 合约中出现资金被抽走的情况，该合约是这个已废弃跨链桥的核心组件。安全公司 BlockSec 随后也确认了同一漏洞利用事件，并首先怀疑代码中存在缺失的访问控制。

漏洞出现在合约验证证明数据的方式上：一条逻辑路径会验证完整交易集合，而结算逻辑则以另一种方式读取同一份数据。由于两者不一致，攻击者得以在没有任何真实存款支撑的情况下凭空记入价值，从而形成从未被实际充值过的“余额”。

攻击者在一次行动中针对 7 种资产完成了整套操作。被盗资产包括 909 枚 以太币 (ETH)、约 27 万枚 Dai (DAI)、167 枚质押的包裹以太以及少量收益型代币。链上记录显示，这些资金最终流入一个新创建的钱包，而该钱包早前通过混币服务获得资金，显示这次行动经过了充分预谋。

Aztec Labs 不持有管理员密钥

预警发出后不久，Aztec Foundation 证实了这一事件，并强调，此次漏洞不会影响 AZTEC (AZTEC) 代币和正在运行的 Aztec 主网。该代币当天价格几乎未受波动，仍在约 0.01 美元附近交易，而这条于 2022 年上线的旧跨链桥自 2023 年 3 月起就已停止运作。

Aztec Labs 表示他们无法介入处理。因为这些已废弃合约不包含任何管理员密钥，没人可以暂停或升级它们。开发者 Param 也解释，在跨链桥关停后，相关代码已被完全设置为不可变。目前调查人员仍在跨链上追踪被盗资金的流向。

被遗弃的 DeFi 合约仍然危险

这一事件凸显了一个行业反复“重学”的教训：许多已经“死亡”的协议在团队离场很久之后，链上仍然留有真金白银。不可变代码一旦暴露出漏洞，就无法再打补丁，这使这些被遗弃系统——如今常被称为“僵尸合约”——在多年内都暴露在攻击之下。

这次资金被盗为近期本就严峻的链上安全形势再添一笔。仅本月，类似攻击事件已在至少十余起中造成约 4400 万美元损失，多个中小协议在近几周接连中招。在此之前，4 月份也异常惨烈，仅两起重大攻击就让当月损失飙升至逾 6.25 亿美元，并创下单月事件数量新高。

本文链接地址：https://www.wwsww.cn/hqfx/39539.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。