Устаревший смарт-контракт Aztec Connect, закрытый ещё в марте 2023 года, подвергся атаке, в результате которой было похищено около $2,1 млн в криптовалюте. Инцидент вскрыл хроническую проблему децентрализованных финансов: заброшенная инфраструктура не перестаёт быть опасной только потому, что продукт больше не развивается.
По данным аналитической компании BlockSec, злоумышленник вывел примерно 909 ETH, 270 000 DAI и 167 wstETH. Уязвимость заключалась в неполной проверке данных подтверждения транзакций: одна из функций контракта проверяла лишь начало доказательства, тогда как инструкции по перемещению токенов оставались непроверенными (CertiK). Из-за расхождения между набором верифицированных транзакций и их финальной обработкой на первом уровне (L1) атакующий смог манипулировать выводом средств.
Aztec Connect представлял собой zk-rollup-мост, позволявший приватно взаимодействовать с протоколами Aave и Lido. В 2023 году Aztec Labs объявила о прекращении поддержки, а к марту 2024 года остановила секвенсор. При закрытии проекта команда отказалась от административных ключей, сделав контракт неизменяемым, что исключало возможность экстренной паузы или обновления. «Aztec Labs не имеет механизмов вмешательства: мы не владеем ключами и не можем остановить или исправить систему», — подтвердили разработчики. Фонд Aztec подчеркнул, что инцидент не затрагивает текущую сеть Aztec и токен AZTEC.
До атаки в контрактах оставалось около $2,15 млн (по данным DefiLlama), и именно эта сумма оказалась под угрозой. Случай с Aztec Connect — очередное напоминание, что прекращение работы протокола требует активного управления рисками: многократных предупреждений пользователям, сроков вывода средств и последующего мониторинга. Без этого оставленные в старых контрактах активы становятся лёгкой добычей для злоумышленников, как показывают июньские события: к середине месяца потери от эксплойтов уже достигли $43,93 млн, включая атаки на Gnosis Pay и TesseraDAO.
