Aztec: haker wyprowadził 2,15 mln USD ze starego kontraktu Payments

Aztec poinformował, że 18 czerwca atakujący wykorzystał nieużywany smart kontrakt w sieci Layer 2, wyprowadzając około 2,15 mln USD w kryptowalutach. Incydent dotknął starszy produkt płatniczy o nazwie Aztec Payments, a nie główny aktywny stos, jednak ujawnił słabość w sposobie, w jaki mostkowy kontrakt on-chain weryfikował dowody.

Według wstępnych ocen exploit opierał się na błędzie logicznym w procesie weryfikacji dowodów w smart kontrakcie PrivateRollupBridge. Pozwoliło to atakującemu ominąć zamierzone zabezpieczenia i wyprowadzić środki z przestarzałego kontraktu. Koszt ataku był w porównaniu minimalny – około 0,134 ETH, czyli ok. 230 USD, aby go przeprowadzić.

To naruszenie dokłada się do krótkiej serii problemów z bezpieczeństwem Aztec. Zaledwie kilka dni wcześniej, 14 czerwca, nieznane podmioty opróżniły inny przestarzały kontrakt routera i zabrały blisko 2,19 mln USD. Dwa incydenty w krótkim odstępie czasu rodzą to samo pytanie dla traderów i użytkowników: ile odziedziczonego kodu wciąż pozostaje aktywne, nawet jeśli protokół twierdzi, że nie jest już używany?

Dla rynku szkodą nie jest tylko bezpośrednia strata. Powtarzające się ataki na uśpione kontrakty mogą podważyć zaufanie do kontroli operacyjnych projektu, szczególnie gdy awarie pochodzą ze starych produktów pozostawionych bez ochrony on-chain. Sam ETH nie znajduje się bezpośrednio w centrum kradzieży, jednak tego typu incydenty mogą negatywnie wpływać na nastroje dotyczące szerszego ekosystemu Ethereum i bezpieczeństwa L2.

Kluczową kwestią jest teraz, czy Aztec może potwierdzić zakres błędu, załatać powiązane komponenty i wyjaśnić, dlaczego kontrakt pozostał podatny na atak. Traderzy będą również wypatrywać oznak, że zespół przemieszcza środki, wstrzymuje usługi lub publikuje pełną analizę powłamaniową. Do tego czasu naruszenia z 14 i 18 czerwca pozostawiają Aztec z nowym problemem bezpieczeństwa i wyraźnym kryzysem wiarygodności.