Aztec Connect 验证后遭窃210万美元…

币安Binance

币安交易所是全球加密货币交易所龙头，在手机上即可买卖比特币等数字货币！

官网注册  APP下载

Aztec Connect 是如何被盗的？

已废弃的去中心化金融平台 Aztec Connect 在周日遭遇攻击，大约 210 万美元的加密货币被窃取。攻击者利用了其验证功能中的一个漏洞。Aztec Labs 表示正在“调查一起可能影响 Aztec Connect 的潜在攻击”，并补充说约 210 万美元已从该平台的智能合约中转出。团队称，此次事件并未影响当前 Aztec 网络上的用户或资产。

此次攻击针对的是 Aztec 系统的旧版本，而非其当前以隐私为核心的二层网络。Aztec Connect 于 2022 年作为 DeFi 桥接上线，并于 2023 年 3 月被弃用，存款功能也随之停止，团队将资源转向了新一代 Aztec 网络。这一事件凸显了去中心化金融中一个反复出现的问题：即使项目已经迁移，旧合约仍可能保持活跃、不可更改，并继续暴露在经济风险中。只要仍有价值可寻，攻击者即便在项目停止开发多年后，依然能够寻找弱点。

验证过程中出了什么问题？

加密安全公司 BlockSec 表示，攻击者利用了 Aztec Connect 验证交易的方式与这些交易在以太坊上结算的方式之间的不匹配。据 BlockSec 称，Aztec Connect 合约中已验证的交易“并未有效地与零知识证明所强制执行的交易集绑定”。这使得以太坊上的验证路径和结算逻辑“对交易列表产生了不同的解读”。

这一弱点让攻击者能够安排交易，使得合约在未经过以太坊正确验证的情况下就记入价值。这些记账产生了没有实际支撑的余额，随后可以被提取。攻击者针对七种不同资产重复了这一过程七次。被盗资产包括 909 个以太币、27 万枚 DAI、167 个封装质押以太币（wstETH）以及其他几种加密货币。与近年来最大的 DeFi 攻击相比，此次攻击规模并不算大，但其结构值得关注，因为它涉及零知识验证与结算之间的不匹配，而非简单的热钱包盗窃。

投资者启示

Aztec Connect 被盗事件提醒我们，已弃用的基础设施仍可能带来现实中的金融风险。对于投资者和协议而言，关键问题不在于产品是否仍在积极推广，而在于其合约是否仍然持有资产或允许提现。

为何弃用的合约仍然是安全风险？

Aztec Connect 已经停止运营，但这并未消除底层的智能合约风险。一旦合约变得不可更改，团队可能几乎没有能力在攻击发生后暂停活动、升级逻辑或进行干预。Aztec Labs 表示：“Aztec Labs 不持有该系统的任何管理员密钥，也无法控制该系统；它无法被我们暂停或升级。”这种设计可以被视为去中心化的一项优势，因为用户不依赖中心化的管理员。但当遗留合约包含未被发现的缺陷时，它也可能成为安全上的制约。没有管理员控制权，团队在可疑活动开始后难以轻易停止提现、修补验证逻辑或冻结暴露的余额。

加密开发者 Param 表示，Aztec Connect 的智能合约变得“完全不可更改”，无法再升级或暂停。他说：“这起事件再次提醒人们，被遗弃的 DeFi 合约多年后仍可能成为攻击目标。”对于 DeFi 用户而言，这带来了尽职调查的问题。一个平台可能已被弃用，但合约仍然存在于链上。将资产留在旧系统中的用户，可能依赖的是不再维护、不再以同样紧迫程度进行监控、也不再由活跃产品团队支持的代码。

这对 DeFi 安全意味着什么？

Aztec Connect 攻击事件让本月本已艰难的加密安全形势雪上加霜。据 DeFiLlama 数据，本月迄今为止，已有至少 4400 万美元因多次攻击被盗。本月最大的一起事件是 6 月 8 日 Humanity Protocol 的私钥泄露，损失了 3000 万美元。此前一天，Syscoin 桥也因虚假证明攻击损失了 800 万美元。这些模式表明，DeFi 安全风险正以不同的故障类型扩散。一些损失源于私钥泄露，另一些则来自桥接验证缺陷、证明验证问题，或者在极端情况下表现异常的合约逻辑。

对于注重隐私和零知识证明的系统而言，Aztec Connect 案例可能会促使人们更密切地关注证明、交易集与结算执行之间的绑定关系。如果证明验证了一组假设，而以太坊上的结算逻辑处理了另一组假设，攻击者就有可能找到空间来创建系统并未实际验证的余额。据团队称，当前的 Aztec 网络未受影响。尽管如此，这一攻击可能会加大对 DeFi 项目的压力，促使它们为旧合约制定更清晰的关闭计划、发布更强有力的用户迁移警告，并对已弃用的系统进行超出预期的监控。

更广泛的市场教训是直白的：在 DeFi 中，弃用并不等于消失。只要合约仍可调用、资产仍可提取，旧的基础设施就仍然可能成为攻击面。