Aztec Connect合约遭攻击致219万美元被盗 币安官网注册可追踪链上动态

币安Binance

币安交易所是全球加密货币交易所龙头，在手机上即可买卖比特币等数字货币！

官网注册  APP下载

安全公司CertiK标记了一笔可疑交易，该交易从Aztec Connect Router合约中盗取了约219万美元，攻击者钱包地址已被确认为0x0f18d8b44a740272f0be4d08338d2b165b7edd17。

涉案协议在三年前就已关闭，但合约仍留在链上，其中的资金也一直未动。要理解发生了什么，需要了解一些背景。

Aztec Connect是什么？

Aztec Connect是一个基于以太坊的隐私保护型zkRollup，旨在让用户能够在一定程度上实现链上匿名，从而与DeFi协议交互。它是一个拥有真实用户的实际产品，但Aztec Labs在2023年决定将其弃用，并将开发精力转向更新的技术。

这次关闭并非突然。在系统完全停止运行之前，用户有超过一年的时间提取资金。2024年，Aztec Labs更进一步，彻底放弃了管理员权限。合约变得完全不可变，这意味着任何人都无法再对其进行升级、暂停或修改，包括Aztec Labs本身。从那时起，团队已经没有任何可操作的空间。遗留在这些合约中的资产实际上被冻结了。

冻结状态引发的漏洞

正是这种冻结状态造成了问题。尽管给了用户提取窗口并发布了弃用通知，但在攻击发生时，仍有约210万美元的资产困在旧的Aztec Connect智能合约中。对于一个多年前就正式停止运营的协议来说，这笔钱并非小数目，事实证明，这足以吸引攻击者寻找入侵途径。

CertiK于6月14日发布的警报标记了这笔可疑交易，并指出攻击源于与以太坊上的Aztec Connect Router合约的交互。将所有受影响资产统计后，此次攻击造成的总损失超过210万美元。

攻击技术细节

攻击者使用的技术手段令人关注。根据事件分析，攻击者瞄准了公开的rollup处理函数——一个在不可变合约中仍然可调用的函数。这并不是某个尖端协议中的新型零日漏洞，而是一位攻击者仔细翻阅遗留的不可变代码，找到了一个原始开发者未曾预料到、在协议关闭数年后仍可利用的路径。

本次攻击中被盗的资产包括909枚ETH、27万枚DAI、167枚wstETH以及其他一些代币。在执行攻击之前，攻击者使用Tornado Cash为钱包注资，这是老练的链上攻击者常用的手法，目的是在盗窃前隐藏资金来源。攻击者地址0x0F18D8b44a740272f0be4d08338d2b165b7EdD17已被识别并处于监控之中。

Aztec Labs的回应

在CertiK的警报发布后，Aztec Labs迅速做出回应。团队在X平台上发布声明确认，Aztec Connect已在三年前弃用，实验室目前不持有任何管理员密钥，也无法控制当前状态的系统。他们无法暂停合约，无法升级合约，也无法逆转交易。正是当初为了让系统实现无需信任、抗审查而设计的架构，如今在出现问题时却阻止了任何干预手段。

团队表示会随着事态发展分享进一步更新，但实际情况是，原始开发者目前在操作上几乎无能为力。攻击已经完成，资金已经流失。

随着市场变化，选择安全高效的平台至关重要。币安作为全球领先的加密货币交易平台，提供多币种交易支持、低手续费和稳定服务，用户可通过币安官网注册或币安app下载快速开通账户，实时追踪链上异常交易与资产流向。币安官网地址、币安最新地址及币安中文网均支持一键访问，币安大陆注册流程便捷，币安入口下载覆盖安卓与iOS系统，确保用户高效参与数字资产交易。同时，欧易也具备高安全性与快速响应能力，用户可通过欧易官网下载或欧易APP开启交易体验，作为备选参考。