Aztec Connect 在验证漏洞被利用后损失 $2.1M

Aztec Connect 这家已被弃用的去中心化金融平台，上周日遭到约 210 万美元的资金外流，原因是攻击者利用了其验证函数中的漏洞。Aztec Labs 证实该事件影响了平台的智能合约，但表示当前 Aztec Network 上的用户和资产未受影响。该漏洞指向 Aztec 系统的旧版本，该版本于 2022 年推出，并在 2023 年 3 月被弃用，凸显了不可变智能合约中的持续安全风险：即便在主动开发结束后，合约仍可能保留可被访问的价值。

攻击者利用验证与结算不匹配

加密安全公司 BlockSec 认定根因在于：Aztec Connect 如何验证交易，与这些交易在以太坊上的结算方式之间存在不匹配。根据 BlockSec 的说法，Aztec Connect 合约中经验证的交易“并未有效绑定到 ZK 证明所强制执行的交易集合”。这使得以太坊上的验证路径与结算逻辑“对交易列表的理解方式不同”。

该弱点使攻击者能够提交交易：在合约侧对价值进行入账时，却未在以太坊上对其进行适当验证。这些入账形成了无支撑余额，随后就可以被提取。攻击者在七种不同资产上重复了这一过程，共计七次。

被盗七种资产，包括 909 ETH 和 270,000 DAI

被盗资产包括 909 枚以太（Ether）、270,000 枚 Dai、167 枚封装质押 ETH，以及若干其他加密货币。Aztec Labs 表示，约 210 万美元已从平台的智能合约中转出。该漏洞影响了 Aztec Connect：它于 2022 年作为 DeFi 桥启动，并在 2023 年 3 月停止接受存款，因为团队将资源转向下一代 Aztec Network。

不可变合约阻止管理员介入

Aztec Labs 表示：“Aztec Labs 不持有任何管理员密钥，也不控制该系统；因此我们无法暂停或升级它。”加密开发者 Param 说，Aztec Connect 的智能合约变成了“完全不可变”，再也无法进行升级或暂停。在缺少管理员权限的情况下，团队无法在可疑活动开始后阻止提取、修补验证逻辑或冻结已暴露的余额。

6 月的 DeFi 漏洞利用合计至少 4400 万美元

据 DeFiLlama 数据，本月迄今至少有 4400 万美元的资金已在多起漏洞利用事件中被盗。6 月规模最大的事件是 Humanity Protocol 的私钥泄露：6 月 8 日损失了 3000 万美元。Syscoin Bridge 也在前一天因“假证明”漏洞利用损失了 800 万美元。团队表示，当前 Aztec Network 未受 Aztec Connect 漏洞影响。

FAQ

上周日 Aztec Connect 漏洞是由什么造成的？
攻击者利用了 Aztec Connect 验证函数中的缺陷：经验证的交易并未有效绑定到 ZK 证明所强制执行的交易集合，从而使以太坊上的验证路径与结算逻辑对交易列表的解释方式不同。

从 Aztec Connect 被偷走了多少，拿走了哪些资产？
Aztec Connect 的智能合约中约 210 万美元被转走，其中包括 909 枚 Ether、270,000 枚 Dai、167 枚封装质押 ETH，以及跨越七种不同资产的若干其他加密货币。