«Aztec Connect, застарілий міст DeFi, пов’язаний з орієнтованою на конфіденційність екосистемою Aztec, був використаний у неділю після того, як зловмисник вивів близько 2,1 мільйона доларів зі старого смарт-контракту Ethereum. Резюме Старий контракт Aztec Connect втратив 2,1 мільйона доларів, тоді як нинішня Aztec Network залишилася без змін, повідомляє Aztec. Атака використовувала невідповідність верифікації, дозволяючи незабезпеченим балансам переміщатися», — пишуть на: www.crypto.news
Aztec Connect, застарілий міст DeFi, пов’язаний з орієнтованою на конфіденційність екосистемою Aztec, був використаний у неділю після того, як зловмисник вивів близько 2,1 мільйона доларів зі старого смарт-контракту Ethereum.
Резюме
- Старий контракт Aztec Connect втратив 2,1 мільйона доларів, тоді як нинішня Aztec Network залишилася без змін, повідомляє Aztec.
- Атака використовувала невідповідність верифікації, дозволяючи незабезпеченим балансам переміщатися через розрахунки в записах Ethereum.
- Дані DeFiLlama показують, що в Джун вже було кілька хакерів, головним чином втрат Humanity Protocol і Syscoin.
Aztec Labs заявила на X, що «розслідує потенційний експлойт, який впливає на Aztec Connect». Команда повідомила, що близько 2,1 мільйона доларів було виведено з незмінного контракту платформи, але додала, що поточні користувачі та активи Aztec Network не постраждали.
Заява привернула увагу, оскільки Aztec Connect більше не був активним продуктом. Платформа була припинена в березні 2023 року після того, як Aztec Labs переклала роботу на наступну версію своєї мережі конфіденційності.
Ми досліджуємо потенційний експлойт, який впливає на Aztec Connect. ~2,1 мільйона доларів було переведено з незмінного смарт-контракту в транзакцію: https://t.co/5WrfeR8bbJ
Aztec Connect було припинено 3 роки тому. Aztec Labs не має ключів адміністратора чи контролю над системою; не може бути…
— Aztec Labs (@AztecLabs_) 14 червня 2026 р
Старі кошти Aztec Connect залишилися в контракті
Колись Aztec Connect дозволяв користувачам отримувати доступ до DeFi за допомогою конфіденційного зведення ZK. Депозити були припинені, коли система була припинена, і користувачі мали час зняти свої кошти зі старої платформи.
Деякі активи залишилися в контракті. Крипторозробник Парам сказав, що згодом контракти стали «повністю незмінними» і більше не можна було оновлювати або призупиняти. Aztec Labs також заявила, що не має ключів адміністратора або контролю над старою системою.
Як 2,1 мільйона доларів було вичерпано з Aztec Connect:
– Aztec Connect був zkRollup на основі конфіденційності на Ethereum
– Aztec Labs закрили його у 2023 році, щоб зосередитися на новітніх технологіях
– Користувачам дали більше року, щоб вивести свої кошти
– У 2024 році Aztec відмовився від контролю над системою та видалив адміністратора… pic.twitter.com/O0WiYOI4nY
— Парам (@Param_eth) 14 червня 2026 р
На відміну від живого протоколу, у старій системі Aztec Connect не було жодного оператора, який міг би призупинити діяльність. Через це відповідь залежала від публічних попереджень, відстеження та перевірок постраждалих користувачів онлайн.
Таке налаштування не залишало простого способу зупинити експлойт, коли зловмисник знайшов шлях. Старий код все ще існував на Ethereum, і контракт все ще містив кошти, навіть незважаючи на те, що продукт був залишений.
Охоронні фірми пояснюють атаку
Команда Phalcon з BlockSec заявила, що атака була спрямована на контракт Aztec Connect RollupProcessorV3 на Ethereum. Фірма заявила, що втрати перевищили 2,15 мільйона доларів після того, як підозріла діяльність потрапила в контракт.
За даними BlockSec, проблема пов’язана з невідповідністю між тим, як перевірялися транзакції та як вони врегулювалися на Ethereum. Простіше кажучи, система перевірки та логіка розрахунку не зчитували список транзакцій однаково.
Ця прогалина дозволила зловмиснику створювати баланси, які не були підкріплені дійсною вартістю в Ethereum. Потім зловмисник вилучив ці залишки. Той самий шаблон повторювався сім разів для кількох активів.
Дані CertiK, опубліковані на X, перераховували вкрадені активи, включаючи 909 ETH, близько 270 000 DAI, 167 загорнутих ставок ETH та меншу кількість інших токенів. Парам також сказав, що зловмисник фінансував гаманець через Tornado Cash до експлойту.
Збитки від злому в червні продовжують зростати
Експлойт Aztec Connect додає ще один активний місяць для інцидентів безпеки DeFi. Трекер хакерів DeFiLlama показує кілька втрат за червень, включаючи 30 мільйонів доларів від Humanity Protocol 8 червня та 8 мільйонів доларів від Syscoin Bridge 7 червня.
Як повідомляв раніше crypto.news, Humanity Protocol заявив, що понад 36 мільйонів доларів було вкрадено після того, як зловмисники зламали адміністративні ключі, пов’язані з інфраструктурою мосту через Ethereum і BNB Smart Chain.
Crypto.news також повідомив, що збитки від злому впали до 68,3 мільйона доларів у травні, майже на 90% менше, ніж у квітні. Тим не менш, CertiK сказав, що недоліки коду спричинили близько 45 мільйонів доларів збитків Мей, що робить їх найбільшим шляхом атаки за цей місяць.
Справа Aztec показує, чому старі контракти DeFi залишаються частиною карти безпеки. Навіть якщо продукт припинено, будь-які кошти, що залишилися в незмінних контрактах, можуть привернути зловмисників через роки.