Aztec: хакер вивів $2,15 млн зі старого смарт-контракту Payments

Aztec повідомила, що 18 червня зловмисник експлуатував невикористовуваний смарт-контракт у її мережі рівня 2 і вивів близько $2,15 млн у криптовалюті. Інцидент зачепив старіший платіжний продукт під назвою Aztec Payments, а не основний активний стек, однак він усе одно виявив вразливість у тому, як ончейн-міст перевіряв докази.

За попередніми оцінками, експлойт був зосереджений на логічній помилці в процесі верифікації доказів для смарт-контракту PrivateRollupBridge. Це дозволило зловмиснику оминути передбачені перевірки й вивести кошти зі застарілого контракту. Для порівняння, вартість самої атаки була мізерною – близько 0,134 ETH, або приблизно $230.

Цей пролом додає до низки проблем із безпекою для Aztec. Усього за кілька днів до того, 14 червня, невідомі особи спустошили інший застарілий контракт-роутер і вивели майже $2,19 млн. Два інциденти поспіль зазвичай породжують одне й те саме питання серед трейдерів та користувачів: скільки застарілого коду все ще залишається активним, навіть якщо протокол заявляє, що він більше не використовується?

Для ринку шкода полягає не лише в прямих збитках. Повторні атаки на неактивні контракти можуть підірвати довіру до операційного контролю проєкту, особливо коли збої походять від старих продуктів, залишених відкритими в блокчейні. ETH безпосередньо не є об'єктом крадіжки, але подібні інциденти можуть тиснути на настрої довкола ширшої екосистеми Ethereum та безпеки L2.

Ключове питання зараз – чи зможе Aztec підтвердити масштаб помилки, виправити пов'язані компоненти й пояснити, чому контракт залишався вразливим для атак. Трейдери також стежитимуть за будь-якими ознаками того, що команда переміщує кошти, призупиняє сервіси або публікує повніший постмортем. До того часу проломи 14 та 18 червня залишають Aztec зі свіжою проблемою безпеки й очевидним питанням довіри, на яке доведеться відповісти.