Aztec, warstwa 2 Ethereum skoncentrowana na prywatności, wystosował stanowcze ostrzeżenie do użytkowników posiadających środki na łańcuchu Alpha V4: wycofajcie je przed 25 czerwca. Termin ten jest związany z zaplanowanym głosowaniem zarządzającym, które wprowadzi aktualizację V5 do sieci. Gdy tylko głosowanie zostanie przegłosowane, luki w zabezpieczeniach obecnego kodu V4 staną się publicznie widoczne – i możliwe do wykorzystania.
Zespół opublikował ostrzeżenie na platformie X, wzywając wszystkich, którzy mają aktywa we wdrożeniu V4, do natychmiastowego ich przeniesienia. „Po aktualizacji wewnętrzna logika starego kontraktu będzie w pełni widoczna w łańcuchu” – napisano w poście, w uproszczeniu. Oznacza to, że wszelkie błędy czy tylne drzwi w kontrakcie V4 – zwykle ukryte przed zwykłym przeglądaniem – będą czytelne dla każdego, kto skorzysta z eksploratora bloków.
Dla użytkowników ryzyko jest proste. Jeśli środki pozostaną w kontraktach V4 po aktualizacji, atakujący mogą przeanalizować kod, zidentyfikować słabości i opróżnić podłączone portfele. To nie jest hipotetyczny scenariusz: protokoły skoncentrowane na prywatności były już celem ataków, gdy stare bazy kodu stawały się jawne po forku lub aktualizacji.
25 czerwca to nie jest miękki termin. Aztec zapowiada, że krok zarządzający jest „zaplanowany” i o ile nie nastąpi odwołanie w ostatniej chwili, zostanie przeprowadzony. Użytkownicy, którzy zwlekają dłużej, w praktyce opierają się na nadziei, że nikt nie wykorzysta ujawnionych luk, zanim przeniosą swoje aktywa. Biorąc pod uwagę wartość środków na łańcuchu V4 – i wzmożoną uwagę na warstwy 2 prywatności – to niebezpieczny zakład.
Dla szerszego rynku incydent ten podkreśla powracające ryzyko w aktualizacjach infrastruktury kryptowalutowej: w momencie, gdy nowy kod wchodzi w życie, stary kod staje się celem. Zwraca też uwagę na strategię migracji Azteca. Wersja V5 obiecuje lepszą prywatność i wydajność, ale przejście tworzy okno podatności, które zespół mógłby zamknąć, stosując bardziej stopniową migrację lub harmonogram przymusowych wypłat.
Na co zwrócić uwagę: Wszyscy użytkownicy V4 powinni zweryfikować swoje salda i zainicjować wypłaty przed godziną 23:59 UTC 25 czerwca. Po tym czasie kontrakty będą uznawane za niezaufane. Każdy ETH pozostawiony w V4 po aktualizacji może zostać utracony na rzecz wyzyskujących. Aztec nie ogłosił planów rekompensat.
Aztec wzywa do wycofania środków z V4 przed 25 czerwca, by uniknąć ataków
Aztec, sieć Ethereum skoncentrowana na prywatności, wzywa użytkowników do przeniesienia środków z systemu Alpha V4 przed 25 czerwca, ponieważ planowana aktualizacja ujawni luki w zabezpieczeniach. Użytkownicy, którzy pozostawią środki w V4, ryzykują, że atakujący ukradną ich pieniądze, gdy stary kod stanie się widoczny po aktualizacji.