Aztec Labsは、210万ドルの被害を受けた脆弱性を悪用した攻撃を受け、廃止されたAztec Connect製品の提供を終了した。

Aztec Connectのスマートtracは、3年前に停止されたプライバシーブリッジの検証上の欠陥を攻撃者が悪用した結果、210万ドルの損失を被ったと報じられている。この攻撃にはさらにひねりがあり、Aztec Labsチームによると、この欠陥は誰にも修正できない状態にあるという。.

ブロックチェーンセキュリティ企業BlockSecによると、盗まれた資金には約909ETH、27万DAI、167wstETHが含まれており、同社は監視システムPhalconを通じてこの不審な取引を検出した。. 

Aztec Connectは、2023年3月にAztec Labsによって非推奨となるまで、 ゼロ知識証明によってトランザクションの詳細を保護しながら、 とユーザーがやり取りできるzk-rollupブリッジでした DeFi プロトコル Aave 。Aztec Labsは2024年3月までにシーケンサーの運用を停止しました。やLidoなどの

Cryptopolitanのレポート作成時点で、 AZTECトークンは5 %以上上昇している。

攻撃者がAztec Connectを悪用することを可能にした脆弱性は何だったのか？ 

BlockSec Phalcon によるXの分析によると、この欠陥は検証済みトランザクションセットとL1決済処理の境界に関する不一致が原因でした。

セキュリティ企業CertiKによると、この欠陥は提出された証明データの検証が不完全だったことに起因する。.

 あるtrac機能は証明の冒頭部分のみをチェックし、他の場所に埋め込まれたトークン転送指示は検証されなかったため、攻撃者は引き出しを操作することができた。.

Aztec Labsは、この脆弱性に対してどのような対応を取っているのか？

Aztec Labsは調査中であることを認めたが、介入する手段はないと述べた。「Aztec Connectは3年前に廃止されました。Aztec Labsは管理者キーやシステムに対する制御権を一切持っていません。そのため、弊社が一時停止したりアップグレードしたりすることはできません」とチーム はXに書き込んだ。

別の声明で、 アステカ財団は いることを強調dent をtracAZTEC ERC-20トークンや現在のアステカネットワークに関連するスマートコントラクトとは一切関係がなく、プライベートスマートコントラクトにtracた。 

「Aztec Connectは3年前に廃止され、Aztec Labsはシステムに対するいかなる制御権も保持していません」とAztec Foundationは記している。.

Aztec Labsが事業を縮小する際、プライバシー重視のプロトコルであったことから、契約tracの管理者キーを放棄した。しかし、その代償として、キーがなくなると、脆弱性が発覚しても誰も修正プログラムを展開できなくなる。.

この脆弱性を悪用することによるコストはどれくらいですか？

DefiLlamaのデータ Aztec Connectの契約にはtracによると、攻撃前に 約215万ドルの資金がロックされており、攻撃者はその資金にアクセスできた。

これらの資金は監視されておらず、チームは何も対策を講じなかった。なぜなら、資金内に残された資産はすべて、元のコードの完全性に完全に依存していたからである。. 

Aztec Connectの脆弱性を突いた今回の事例は、プロジェクト移行後に旧来のtracに資金を残しておくユーザーが繰り返し直面するリスクを浮き彫りにした。.

6月の活躍はますます増え続けている。

6月も半ばを過ぎましたが、エクスプロイト攻撃が増加する中、暗号プロトコルは一息つく暇もないようです。5月も 様々なエクスプロイト攻撃が相次ぎ、最近廃止されたプラットフォームでは攻撃が増加しています。

Cryptopolitan 攻撃したエクスプロイトについて報じており 以前 、6月上旬に BNB Chainに対するミント・アンド・ダンプ攻撃で250万ドルを失った。 Gnosis PayとTesseraDAOを、TesseraDAOだけでも

DeFiLlamaのデータ によると、6月の不正利用による累積損失額は、月中旬時点で既に約4393万ドルに達している。