Aztec сообщает, что хакер вывел $2,15 млн из старого контракта Payments

Aztec заявила, что 18 июня злоумышленник использовал уязвимость в неиспользуемом смарт-контракте её сети второго уровня, выведя криптоактивы примерно на $2,15 млн. Инцидент затронул старый платёжный продукт под названием Aztec Payments, а не основной активный стек, однако он всё равно обнажил слабость в том, как ончейн-мост контракта проверял доказательства.

По предварительным оценкам, эксплойт был основан на логической ошибке в процессе проверки доказательств для смарт-контракта PrivateRollupBridge. Это позволило атакующему обойти предусмотренные проверки и вывести средства из устаревшего контракта. Для сравнения, стоимость самой атаки оказалась ничтожной – около 0,134 ETH, или примерно $230.

Этот взлом усугубляет череду проблем безопасности Aztec. Всего несколькими днями ранее, 14 июня, неизвестные опустошили другой устаревший контракт-маршрутизатор и забрали почти $2,19 млн. Два инцидента подряд неизбежно поднимают для трейдеров и пользователей один и тот же вопрос: сколько ещё унаследованного кода остаётся активным в сети, даже если протокол утверждает, что он больше не используется?

Для рынка ущерб не ограничивается прямыми потерями. Повторяющиеся атаки на спящие контракты способны подорвать доверие к операционному контролю проекта, особенно когда сбои происходят из-за старых продуктов, оставленных доступными на блокчейне. Сам ETH не находится в центре кражи напрямую, но подобные события могут давить на настроения вокруг всей экосистемы Ethereum и безопасности L2-решений.

Ключевой вопрос сейчас – сможет ли Aztec подтвердить масштаб ошибки, исправить связанные компоненты и объяснить, почему контракт оставался уязвимым для атак. Трейдеры также будут следить за любыми признаками того, что команда перемещает средства, приостанавливает сервисы или публикует подробный постмортем. До тех пор взломы 14 и 18 июня оставляют Aztec перед лицом новой проблемы безопасности и очевидного вопроса о доверии, на который необходимо ответить.