Устаревший мост Aztec Connect, позволявший совершать приватные транзакции с протоколами децентрализованных финансов (DeFi), подвергся взлому. Злоумышленник вывел около $2,1 млн из старого смарт-контракта Эфириума.
Украденные активы — 909 ETH, 270000 DAI, 167 обернутых эфиров для стейкинга ETH (wstETH) и небольшие суммы в других токенах, сообщили специалисты по безопасности CertiK. Команда Aztec Labs заявила, что расследует инцидент и причины уязвимости, затронувшей Aztec Connect. Разработчики уточнили, что активы были перемещены из неизменяемого контракта платформы. Однако пользователи не пострадали, поскольку мост не связан со смарт-контрактами, имеющими отношение к токену AZTEC стандарта ERC-20, и с действующей сетью Aztec Network, заверила команда проекта.
Протокол Aztec Connect был закрыт в марте 2023 года после того, как Aztec Labs стала работать над новой версией своей ориентированной на конфиденциальность сети. Aztec Connect открывал пользователям доступ к DeFi через приватный роллап ZK. После закрытия моста внесение депозитов было приостановлено, хотя у пользователей оставались активы на старой платформе.
Анонимный крипторазработчик под ником Param заявил, что позже контракты стали «полностью неизменяемыми», поэтому не могли обновиться. Команда Aztec Labs заявила, что у нее нет административных ключей, соответственно, она не может контролировать старую систему. В отличие от действующего протокола, в старой системе Aztec Connect не было оператора, который мог бы приостановить ее активность.
Учитывая, что часть альткоинов оставалась в системе, это привлекло внимание злоумышленников. Эксперты по безопасности BlockSec выяснили, что атака была направлена на смарт-контракт RollupProcessorV3 моста Aztec Connect в Эфириуме. Критическая уязвимость заключалась в несоответствии между тем, как система верифицировала транзакции, и тем, как они проводились в Эфириуме. То есть система подтверждения и логика расчетов считывали транзакции по-разному. Из-за таких расхождений злоумышленник смог создать фиктивные балансы, не обеспеченные реальными активами, а затем вывести средства. Эту схему хакер провернул семь раз с разными активами. Прежде чем воспользоваться уязвимостью, злоумышленник пополнил кошелек через криптомиксер Tornado Cash.
Недавно хакерской атаке подвергся децентрализованный проект идентификации Humanity Protocol, который потерял $32 млн. Злоумышленники скомпрометировали приватные ключи одного из участников фонда Humanity Foundation и получили доступ как минимум к 17 связанным с проектом кошелькам. На прошлой неделе неизвестные почти полностью опустошили пул вознаграждений платформы NovaBox на блокчейне Эфириума, украв 56,73 ETH.
Основатель SkyBridge Capital Энтони Скарамуччи (Anthony Scaramucci) заявил, что биткоин находится в своей обычной циклической…
Криптоиндустрия печально известна громкими взломами и кражами на в общей сумме многие миллиарды долларов. Однако…
Жительница города Омска перевела мошенникам более 1,8 млн рублей, рассчитывая заработать на инвестициях в криптовалюту.…
Высокий суд Австралии признал деривативом и финансовым продуктом программу с фиксированной доходностью, которую предлагал клиентам…
Американские игорные ассоциации обратились к Сенату США с призывом запретить блокчейн-рынки предсказаний исхода спортивных соревнований…