Взлом платформы Aztec Connect
Согласно информации от Aztec Labs и компании по безопасности блокчейнов BlockSec, злоумышленник использовал уязвимость в процессе проверки транзакций платформы, что позволило ему создавать и выводить необеспеченные балансы. В результате атаки было украдено 909 ETH, 270 000 DAI, 167 обернутых ставленных ETH и несколько других активов в семи транзакциях.
Подробности инцидента
В воскресенье устаревшая платформа децентрализованных финансов (DeFi) Aztec Connect подверглась криптовалютному взлому, в результате которого было похищено примерно 2,1 миллиона долларов в цифровых активах. Aztec Labs подтвердила, что проводит расследование инцидента после того, как выяснилось, что средства были выведены из смарт-контракта Aztec Connect.
«Взлом затронул только старую платформу Aztec Connect и не повлиял на пользователей, средства или активы в текущей сети Aztec».
По словам команды, около 2,1 миллиона долларов было переведено из контракта во время атаки. Исследователи безопасности блокчейнов быстро начали анализировать взлом. Компания BlockSec сообщила, что злоумышленник воспользовался уязвимостью, связанной с процессом проверки транзакций платформы.
Уязвимость и ее последствия
В частности, имелось несоответствие между тем, как транзакции проверялись с помощью доказательств с нулевым разглашением, и тем, как они в конечном итоге интерпретировались и обрабатывались в Ethereum. Поскольку проверенные транзакции не были должным образом связаны с набором транзакций, установленным системой доказательства с нулевым разглашением, злоумышленник смог манипулировать процессом проверки.
Это позволило смарт-контракту распознавать и зачислять стоимость, которая на самом деле не была подтверждена в Ethereum. В результате злоумышленник создал необеспеченные балансы, которые позже могли быть выведены как законные активы. Взлом был повторен семь раз для нескольких цифровых активов.
Тревожная тенденция в криптовалютной безопасности
По данным исследователей безопасности, злоумышленник украл 909 Ethereum (ETH), 270 000 Dai (DAI), 167 обернутых ставленных эфиров и несколько других криптовалют. Совокупная стоимость этих активов составила примерно 2,1 миллиона долларов. Инцидент стал частью тревожной тенденции нарушений безопасности в сфере криптовалют.
Данные от DeFiLlama показывают, что в этом месяце было украдено более 44 миллионов долларов через как минимум дюжину отдельных взломов. Крупнейший инцидент произошел с Humanity Protocol, который, как сообщается, потерял около 30 миллионов долларов после компрометации приватного ключа. Еще одна крупная атака была нацелена на Syscoin Bridge, где злоумышленники якобы использовали поддельный механизм доказательства для кражи примерно 8 миллионов долларов.
История Aztec Connect
Aztec Connect был запущен в 2022 году как мост DeFi, ориентированный на конфиденциальность, построенный на технологии нулевых знаний Aztec. Однако платформа была устаревшей в марте 2023 года, когда команда разработчиков сместила свое внимание на сеть следующего поколения Aztec. Депозиты были приостановлены, и поддержка старой платформы фактически была прекращена.
«Aztec Labs ясно дала понять, что больше не имеет административного контроля над контрактами Aztec Connect».
Поскольку смарт-контракты были разработаны как полностью неизменяемые, команда не может приостановить, обновить или изменить их в ответ на инциденты безопасности.
