Хакер вивів близько $2 млн із застарілого смартконтракту Aztec

Розробники орієнтованого на приватність Ethereum-рішення Aztec Network повідомили про атаку на застарілий смартконтракт, унаслідок якої зловмисник вивів близько $2,1 млн.

Інцидент зачепив платформу Aztec Connect — рішення для приватних транзакцій, підтримку якого припинено ще у 2023 році. Попри завершення обслуговування, частина коштів залишалася заблокованою в інфраструктурі протоколу.

Команда запевнила, що чинна мережа проєкту та активи користувачів не постраждали.

Фахівці BlockSec пов’язали інцидент із невідповідністю між перевіркою транзакцій і їх розрахунком в Ethereum. Через відмінності в тому, як шлях верифікації та логіка операцій інтерпретували список транзакцій, контракт міг зараховувати вартість без перевірки в L1-блокчейні.

Зловмисник створив незабезпечені баланси та вивів кошти. У CertiK вказали серед викраденого: 909 ETH, 270 000 DAI, 167 wstETH і низку інших криптовалют.

Aztec Connect запустили у 2022 році як DeFi-міст. У березні 2023 року платформа припинила приймати депозити, а команда переключила ресурси на Aztec Network.

Розробники заявили, що не мають адміністративних ключів і не контролюють систему, тому не можуть поставити її на паузу або оновити.

Источник: forklog.com.ua