Из-за уязвимости в платформе Азтек Коннект было похищено 2,1 миллиона долларов

В мире децентрализованных финансов (DeFi) вопрос безопасности вновь вышел на первый план. Неизвестные хакеры, воспользовавшись уязвимостью в устаревшем и выведенном из эксплуатации смарт-контракте платформы Азтек Коннект, присвоили криптовалютные активы на сумму около 2,1 млн УСД. Этот инцидент в очередной раз подтвердил, что даже неактивные проекты в блокчейн-системах могут стать мишенями для кибератак. Об этом сообщает Коинтелеграф.ком.

Команда Азтек Лабс на своей официальной странице в социальной сети Кс объявила о начале расследования данного инцидента. Представители компании подчеркнули, что эта атака никак не затронула пользователей или активы в новой, активной на данный момент сети Азтек. Средства были выведены именно из старого смарт-контракта, депозиты в котором были прекращены еще в 2023 году.

Техническая уязвимость и механизм атаки

Согласно анализу фирмы по кибербезопасности БлокСек, хакер воспользовался несоответствием в процессе проверки транзакций платформы и их завершения (сеттлемент) в сети Ethereum. В частности, подтвержденные транзакции в контракте Азтек Коннект оказались жестко не привязанными к набору транзакций, определенных с помощью ЗК-пруф (доказательство с нулевым разглашением).

Эта ситуация позволила злоумышленнику обмануть логику проверки в сети Ethereum. В результате хакер смог создать балансы, не имеющие реальной стоимости, но подтвержденные системой, и вывел их семь раз в виде семи различных активов. Среди украденных средств — крупные активы, такие как 909 единиц Ether (ETH), 270 000 единиц Dai (DAI) и 167 единиц враппед стакед ETH (встЭТ).

Масштаб кибератак в июне

По данным ДеФиЛлама, этот инцидент стал двенадцатой крупной хакерской атакой, совершенной в текущем месяце. Только за июнь из криптопроектов было похищено в общей сложности более 44 млн УСД. Крупнейшие потери в июне были зафиксированы в следующих проектах:

• Humanity Protocol — 30 млн УСД из-за раскрытия закрытого ключа;
• Сйскоин Бридге — 8 млн УСД похищено через механизм поддельных доказательств;
• Азтек Коннект — 2,1 млн УСД убытков из-за ошибки в смарт-контракте.

Азтек Нетворк — это Лаер-2 решение в сети Ethereum, ориентированное на конфиденциальность. Проект Азтек Коннект, запущенный в 2022 году, был объявлен устаревшим в марте 2023 года, и команда направила все ресурсы на развитие сети следующего поколения. Несмотря на это, остаточные средства на старых контрактах остаются в центре внимания киберпреступников.

Эксперты рекомендуют пользователям и разработчикам своевременно выводить ликвидность с устаревших платформ и регулярно проводить аудит безопасности смарт-контрактов. По мере развития рынка криптовалют методы хакеров также усложняются, что требует более ответственного подхода к безопасности цифровых активов.