Компания Aztec Labs прекратила поддержку устаревшего продукта Aztec Connect после взлома на сумму 2,1 млн долларов

По сообщениям, смарт-tracAztec Connect потерял 2,1 миллиона долларов после того, как злоумышленник воспользовался уязвимостью в механизме проверки конфиденциальности, который был отключен три года назад. Эта атака также имеет свою особенность: по словам команды Aztec Labs, уязвимость находится за пределами возможностей исправления.

По данным компании BlockSec, занимающейся обеспечением безопасности блокчейна, и которая выявила подозрительную транзакцию с помощью своей системы мониторинга Phalcon, украденные средства включали приблизительно 909 ETH, 270 000 DAI и 167 wstETH. 

До того, как Aztec Connect был снят с поддержки Aztec Labs в марте 2023 года, он представлял собой мост zk-rollup, позволявший пользователям взаимодействовать с DeFi протоколами Aave и Lido, одновременно скрывая детали транзакций с помощью доказательств с нулевым разглашением. Aztec Labs прекратила работу своего секвенсора к марту 2024 года. , такими как

На момент публикации отчета Cryptoplitan токен AZTEC вырос более чем на 5%.

В чём заключалась уязвимость, позволившая злоумышленнику использовать уязвимость Aztec Connect? 

Ошибка возникла из-за несоответствия границы между набором проверенных транзакций и обработкой расчетов L1, согласно анализу BlockSec Phalcon по X.

По данным компании CertiK, занимающейся вопросами безопасности, уязвимость заключалась в неполной проверке предоставленных подтверждающих данных.

 Одна из функцийtracпроверяла только начало подтверждения, в то время как инструкции по переводу токенов, встроенные в другие места, оставались непроверенными, и именно это позволило злоумышленнику манипулировать выводом средств.

Какова реакция компании Aztec Labs на обнаруженную уязвимость?

Компания Aztec Labs подтвердила, что проводит расследование, но заявила, что у нее нет механизма для вмешательства. «Aztec Connect был снят с поддержки 3 года назад. Aztec Labs не имеет административных ключей и не контролирует систему; мы не можем приостановить или обновить ее», — написала команда наX.

В отдельном заявлении, фонд Aztec Foundation подчеркнул, что инцидентdent имеет никакого отношения к каким-либо смарт-trac, привязанным к токену AZTEC ERC-20 или текущей сети Aztec, которая ориентирована на частные смарт-trac. 

«Система Aztec Connect была снята с поддержки 3 года назад, и компания Aztec Labs не имеет над ней никакого контроля», — говорится в сообщении фонда Aztec Foundation.

Когда компания Aztec Labs свернула работу моста, она отказалась от административных ключей вtrac, поскольку протокол был ориентирован на конфиденциальность. Однако обратной стороной медали является то, что после потери ключей никто не сможет развернуть исправление при обнаружении уязвимости.

Какова стоимость использования уязвимости?

Согласно данным DefiLlama , до атаки на Aztec Connecttracбыло заблокировано около 2,15 миллиона долларов , и именно к этим средствам злоумышленник смог получить доступ.

За средствами никто не следил, и команда ничего с ними не предпринимала, поскольку любые активы, оставшиеся внутри, полностью зависят от целостности исходного кода. 

Уязвимость Aztec Connect также выявляет повторяющийся риск для пользователей, которые оставляют свои средства в старыхtracпосле миграции проекта.

В июне количество происшествий продолжает расти

Июнь уже в разгаре, и, судя по росту числа эксплойтов, криптопротоколы, похоже, не получают передышки. Май также был отмечен различными эксплойтами, а недавно устаревшие платформы подвергаются всё более частым атакам.

Cryptopolitan сообщал об уязвимостях, затронувших Gnosis Pay и TesseraDAO в первые дни июня, при этом только TesseraDAO потеряла 2,5 миллиона долларов в результате атаки типа «создание и сброс» на BNB Chain. 

Согласно DeFiLlama, к середине месяца совокупные убытки от взлома, совершенного в июне, уже достигли примерно 43,93 миллиона долларов.