Застарілий контракт Aztec Connect було використано для викрадення $2,19 млн у застарілому DeFi-ризику

Застарілий смартконтракт Aztec Connect був використаний у експлуатації приблизно на $2,19 мільйона, згідно з аналізом, опублікованим блокчейн-компанією з безпеки SlowMist. Уражений контракт входив до спадкової інфраструктури, яку більше не підтримували й не обслуговували активно, а не до поточної мережі Aztec. Інцидент підкреслює стійку проблему безпеки в DeFi: незмінні смартконтракти можуть залишатися експлуатованими цілями ще довго після того, як продукт зупинили та команди перейшли на нові системи.

SlowMist публікує аналіз викрадення Aztec Connect

SlowMist опублікувала аналіз крадіжки активів на $2,19 мільйона з Aztec Connect. У звіті компанії уточнили, що використаний компонент був старішим контрактом Aztec Connect, а не частиною зараз активної інфраструктури мережі Aztec. Ця різниця важлива для користувачів і розробників, які оцінюють масштаб інциденту безпеки, оскільки вказує, що експлойт вразив застарілий код, який уже не підтримували, а не системи реального виробництва.

Застарілий контракт залишався в мережі після зупинки

Уражений контракт було деактивовано (deprecated), і він більше не був активно підтриманий командою проєкту. Смартконтракти залишаються в on-chain навіть після того, як DeFi-продукти зупиняють роботу, зникають front ends і команди перемикаються на нові системи. Якщо кошти лишаються всередині застарілих контрактів, вони можуть стати мішенями для атакувальників, які знаходять експлуатовані слабкості в непідтримуваному коді. Незмінність, що робить контракти передбачуваними та прибирає дискреційний контроль, також означає, що вразливості неможливо виправити після їхнього виявлення в спадковій інфраструктурі.

Експерти з безпеки радять переглядати застарілі депозити

Інцидент показує, що користувачі не мають припускати, ніби старі мости й застарілі контракти безпечні лише тому, що проєкт перейшов далі. Коли протоколи оголошують про зупинку, міграцію або деprecation, користувачам слід переглянути та вивести кошти з уражених контрактів. Залишення активів у спадкових системах може створити ризики, які ніхто активно не моніторить. Командам безпеки, можливо, треба розглядати застарілі контракти як частину ширшого ландшафту ризиків DeFi, навіть якщо продукти більше не просувають і не підтримують.

FAQ

Що сталося з контрактом Aztec Connect?

Застарілий смартконтракт Aztec Connect було використано в експлуатації приблизно на $2,19 мільйона. SlowMist опублікувала аналіз, який підтвердив, що уражений контракт був спадковою інфраструктурою, а не частиною поточної активної мережі Aztec.

Чому застарілі DeFi-контракти лишаються вразливими?

Смартконтракти залишаються on-chain після того, як продукти зупиняють роботу. Незмінність не дозволяє виправляти вразливості в деактивованому коді, тож старі контракти з залишковими коштами можуть залишатися експлуатованими цілями навіть тоді, коли їх уже не активно підтримують команди розробників.