Расследование потенциальной уязвимости Aztec Labs
Aztec Labs объявила о начале расследования потенциальной уязвимости, связанной с устаревшим платежным продуктом, выпущенным в 2021 году. В сообщении команда Aztec Labs сообщила, что 17 июня около $2 миллионов было переведено из неизменяемого смарт-контракта, что можно увидеть в транзакциях на Etherscan.
Информация о затронутом продукте
Компания уточнила, что затронутый продукт представлял собой «неизменяемый роллап второго уровня», который был закрыт в 2022 году. Также было отмечено, что Aztec Labs не имеет административных ключей или контроля над системой, что означает, что они не могут приостановить или обновить старый контракт.
Фонд Aztec сообщил, что был уведомлен о возможной уязвимости 17 июня. В сообщении фонда говорится, что между устаревшим продуктом и любыми смарт-контрактами, связанными с текущей сетью или токеном AZTEC ERC20, «нет связей».
Подробности инцидента
Фонд также подтвердил, что инцидент произошел 17 июня 2026 года и что продукт был устаревшим уже четыре года. Фонд направил пользователей к Aztec Labs для получения обновлений, пока команда проводит проверку транзакции и затронутого контракта.
Aztec Labs отметила, что этот случай не связан с уязвимостью, обнаруженной 14 июня, касающейся Aztec Connect, другого устаревшего продукта. Как сообщалось ранее на crypto.news, Aztec Connect потерял $2,1 миллиона после компрометации старого неизменяемого смарт-контракта.
Проблемы с прекращенными продуктами DeFi
Согласно предыдущему отчету crypto.news, атака на Aztec Connect была связана с несоответствием верификации, которое позволило неподкрепленным балансам перемещаться через записи расчетов Ethereum. Позже компании по безопасности проследили проблему до старого контракта RollupProcessorV3.
Новый случай вновь подчеркивает проблему, с которой сталкиваются прекращенные продукты DeFi. Даже после закрытия продукта его контракты могут оставаться активными в Ethereum. Если средства остаются внутри неизменяемых контрактов, злоумышленники могут продолжать искать пути для их перемещения. Это создает сложную задачу для реагирования.
Живая команда может предупредить пользователей и отслеживать средства, но она может не иметь возможности остановить старый контракт, который не подлежит административному контролю.
Заключение
Aztec Labs заявила, что предоставит дальнейшие обновления «в свое время». На данный момент Aztec Labs и Фонд Aztec четко разграничивают старый платежный продукт и текущую сеть. Основное утверждение обеих организаций заключается в том, что инцидент касается устаревшей системы, а не активной сети Aztec или токена AZTEC.
