Aztec Connect 漏洞導致 Ethereum上已棄用的 zk-rollup 橋竊取 210 萬美元。
據報道,Aztec Connect 的智能trac因攻擊者利用三年前已關閉的隱私橋接器中的一個驗證漏洞而損失了 210 萬美元。更令人匪夷所思的是,據 Aztec Labs 團隊稱,該漏洞目前已超出任何人的修復能力。.
據區塊鏈安全公司 BlockSec 稱,被盜資金包括約 909 個 ETH、270,000 個 DAI 和 167 個 wstETH,該公司通過其 Phalcon 監控系統標記了這筆可疑交易。.
Aztec Connect 是一個零知識證明橋接器,它允許用戶與 DeFi 協議 Aave 。Aztec Labs 已於 2024 年 3 月停止運行其序列器。和 Lido 等進行交互,同時通過零知識證明保護交易細節。該橋接器於 2023 年 3 月被 Aztec Labs 棄用
截至Cryptopolitan發佈報告時, AZTEC代幣價格上漲超過5%。
攻擊者利用 Aztec Connect 的哪個漏洞成功實施了攻擊?
根據BlockSec Phalcon 對 X的分析,該缺陷是由於已驗證交易集和 L1 結算處理之間的邊界不匹配造成的。
安全公司 CertiK 表示,該漏洞是由於提交的證明數據驗證不完整造成的。.
其中一個trac函數只檢查了證明的開頭部分,而嵌入在其他地方的代幣轉移指令沒有經過驗證,這使得攻擊者能夠操縱提款。.
Aztec Labs 對此漏洞有何回應?
Aztec Labs證實正在調查此事,但表示沒有干預機制。“Aztec Connect已於3年前停止維護。Aztec Labs不持有該系統的管理密鑰或控制權;我們無法暫停或升級該系統。”該 團隊在X上寫道。
在另一份聲明中, 阿茲特克基金會 在 X 上發佈,強調該事件dent 均無關聯trac與 AZTEC ERC-20 代幣或當前專注於私有智能合約的阿茲特克網絡相關的trac。
“Aztec Connect 已於 3 年前停用,Aztec Labs 對該系統不再擁有任何控制權,”Aztec 基金會寫道。.
當 Aztec Labs 關閉該trac協議時,鑑於其注重隱私的原則,它放棄了對合同的管理員密鑰。然而,這樣做的代價是,一旦密鑰丟失,當漏洞出現時,任何人都無法部署修復程序。.
此次攻擊的代價是什麼?
Aztec Connect 合約中trac根據 DefiLlama 的數據,而這些正是攻擊者能夠訪問的資金。

這些資金無人監管,團隊也沒有采取任何措施,因爲其中遺留的任何資產都完全取決於原始代碼的完整性。.
Aztec Connect 的漏洞也凸顯了項目遷移後將資金留在舊合同中的用戶面臨的trac出現的風險。.
六月份的種種劣跡仍在不斷增加。
六月已過半,隨着漏洞利用事件的增多,加密協議似乎仍未擺脫困境。五月也 充斥着各種漏洞利用事件,而最近被棄用的平臺也面臨着日益增多的攻擊。
Cryptopolitan 此前曾報道過 Gnosis Pay 和 TesseraDAO 在 6 月初遭受的攻擊,其中 TesseraDAO 僅因 BNB Chain 的鑄幣和拋售攻擊就損失了 250 萬美元。
根據 DeFiLlama 的數據,截至 6 月中旬,6 月份的漏洞攻擊造成的累計損失已達約 4393 萬美元。
不要只是閱讀加密貨幣新聞,要理解它。訂閱我們的新聞簡報, 完全免費。







