摘要:6月14日,一名黑客利用三年前停用的Aztec Connect协议中未修复的验证缺陷,窃取超219万美元。该漏洞源于证明验证与结算逻辑的数据读取不一致,攻击者可凭空生成无支撑余额。尽管协议已关闭且无管理员密钥,资金仍被追踪至混币服务关联钱包。
币圈界报道:
三年前停用的隐私协议漏洞致超210万美元被盗
6月14日,一名攻击者利用已废弃三年的Aztec Connect协议中的验证机制缺陷,成功从该系统中提取超过210万美元资产。此次事件揭示了长期未维护的智能合约在脱离监管后仍可能成为高危目标。
跨链桥核心组件遭恶意利用,多资产同步盗取
攻击者针对以太坊上名为RollupProcessorV3的已废弃桥梁核心合约发起攻击,利用其证明验证流程与结算逻辑之间的数据处理差异,实现对无真实存款支持余额的非法提取。该手法被证实适用于七种不同资产,包括909枚以太币(ETH)、约27万枚Dai(DAI)、167枚封装质押以太币及多个生息代币。
多家安全机构迅速响应,确认漏洞根源
安全公司CertiK在攻击发生数小时内识别异常活动,并锁定涉及的资金流向。随后BlockSec也验证了同一问题,最初误判为访问控制缺失,最终确认根本原因在于验证路径与结算逻辑之间存在数据解析偏差。这一技术错位允许攻击者伪造完整交易链,从而绕过资金背书机制。
不可变合约无法干预,团队无权暂停或升级
Aztec基金会于警报发布后确认事件真实性,并强调该废弃协议不再受任何管理方控制。由于合约已完全去中心化且无管理员密钥,开发者无法实施暂停、升级或冻结操作。据开发人员Paramex说明,自2023年3月桥梁正式停用以来,代码已进入永久不可变更状态。
“僵尸合约”持续威胁链上生态,行业亟需清理机制
此次事件再次暴露区块链领域长期存在的隐患:大量已终止运营的协议仍持有真实价值资产,一旦存在漏洞便难以修补。这类被称为“僵尸合约”的遗留系统,在缺乏维护与审计的情况下,可能在多年后仍面临被攻击风险。本月已有至少十余起类似攻击,累计损失近4400万美元;其中4月单月两起重大事件即造成超6.25亿美元损失,创下纪录。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。