Aztec Connect 漏洞利用导致以太坊废弃 zk-rollup 桥被盗 210 万美元

币安Binance

币安交易所是全球加密货币交易所龙头，在手机上即可买卖比特币等数字货币！

官网注册  APP下载

Aztec Connect 智能合约遭攻击，约215万美元被盗

据区块链安全公司BlockSec通过其Phalcon监控系统标记的可疑交易显示，Aztec Connect的智能合约疑似因验证漏洞被攻击者利用，损失约215万美元。被盗资金包括约909枚ETH、27万枚DAI和167枚wstETH。值得注意的是，此次攻击情况特殊，Aztec Labs团队表示，该漏洞已超出任何人的修补能力范围。

Aztec Connect背景与漏洞详情

Aztec Connect是一个零知识卷叠桥，曾允许用户在与Aave、Lido等DeFi协议交互时，通过零知识证明隐藏交易细节。该服务于2023年3月被Aztec Labs弃用，其排序器也于2024年3月停止运行。

根据BlockSec Phalcon的分析，漏洞源于验证交易集与L1结算处理之间的边界不匹配。安全公司CertiK进一步指出，这是对提交的证明数据验证不完整所致——某个合约功能仅检查了证明的开头部分，而嵌入在其他位置的代币转移指令未经验证，从而让攻击者得以操控提现流程。

Aztec Labs的回应

Aztec Labs确认正在调查，但表示已无法干预。团队在X平台发文称：“Aztec Connect已于3年前弃用。Aztec Labs不持有该系统的任何管理员密钥或控制权，无法暂停或升级它。”Aztec Foundation也发布声明强调，此事与AZTEC ERC-20代币或当前专注于隐私智能合约的Aztec网络无关。当初弃用该桥时，考虑到其隐私协议的特性，团队放弃了合约的管理密钥。但代价是密钥一旦消失，漏洞出现时便无人能部署修复程序。

攻击损失与行业警示

根据DefiLlama数据，攻击前Aztec Connect合约中锁定的总价值约为215万美元，攻击者全额盗取。这些资金未被监控，团队也未采取措施，因为留在合约中的任何资产都完全依赖于原始代码的完整性。此次事件凸显了用户在项目迁移后将资金遗留旧合约中的持续风险。

六月攻击事件持续攀升

六月已过半，攻击事件接连不断，加密协议似乎难以喘息。五月也发生了多起攻击事件，近期被弃用的平台正遭受越来越多的攻击。此前已有报道称，六月头几天Gnosis Pay和TesseraDAO便遭攻击，仅TesseraDAO一例就在BNB Chain上因“铸币并倾销”攻击损失了250万美元。据DefiLlama数据，截至六月中旬，六月份的攻击累计损失已接近4393万美元。