Протокол конфиденциальности Aztec пострадал от второй атаки менее чем за семь дней. По данным экспертов SlowMist, злоумышленники вывели $2,1 млн из устаревших смарт-контрактов, которые проект перестал поддерживать. Инцидент вновь напомнил, что заброшенные смарт-контракты могут оставаться уязвимыми годами.
Хакеры дважды за неделю обнулили старые контракты Aztec на $4,2 млн
Эксплойт затронул деприкейтед (устаревшие и более не поддерживаемые разработчиками) контракты протокола. Специалисты по безопасности SlowMist предупреждают: даже после прекращения активной разработки старые версии смарт-контрактов могут содержать критические уязвимости, которые хакеры способны обнаружить и использовать спустя долгое время.
Напомним, что неделей ранее злоумышленники уже атаковали заброшенный смарт-контракт Aztec Connect, выведя из него такую же сумму.
Сумма ущерба составила $2,1 млн — ровно столько же, сколько было украдено при первом взломе на прошлой неделе. Общие потери Aztec за семь дней превысили $4,2 млн.
Почему заброшенный код блокчейна становится бомбой замедленного действия
Проблема затрагивает не только Aztec, но и многие другие проекты в индустрии. Когда команда перестаёт поддерживать определённую версию смарт-контрактов, она обычно не удаляет их из блокчейна — код остаётся доступным для взаимодействия. Если в нём была ошибка, злоумышленник может её найти и атаковать, даже если проект уже перешёл на новую версию.
Исследователи SlowMist подчеркнули:
Устаревшие смарт-контракты могут оставаться уязвимыми долгое время после того, как проекты перестают их обслуживать.
Пользователям, которые когда-либо взаимодействовали со старыми контрактами, рекомендуется отозвать все одобрения (approvals) на вывод средств. В противном случае их токены могут быть похищены даже спустя месяцы после обновления протокола.
Повторный взлом той же суммы вскрыл системную проблему индустрии
Первый взлом Aztec произошёл всего несколькими днями ранее и также был связан с уязвимостью в legacy-контрактах. Повторная атака той же суммы указывает на то, что хакеры целенаправленно сканируют блокчейн на предмет старых, непропатченных версий популярных протоколов. Это системная проблема: многие команды сосредотачиваются на развитии новых версий, забывая обезопасить или заморозить старые.
Ситуация показательна для десятков проектов в экосистемах Ethereum
ETH$1,709.10-2.07% и Layer 2, которые до сих пор имеют неотозванные старые контракты с миллионами долларов ликвидности. Инвесторам стоит самостоятельно проверять историю контрактов, с которыми они взаимодействуют, через блокчейн-эксплореры и сервисы вроде Revoke.cash
CASH$0.9996+0.00%.
Любой старый смарт-контракт, к которому у вас есть одобрение, — потенциальная мишень. Отзывайте разрешения, даже если проект давно обновился.
Специалисты SlowMist отмечают, что количество атак на устаревшие контракты растёт по мере того, как хакеры автоматизируют поиск уязвимостей. В ближайшие месяцы можно ожидать новых инцидентов с проектами, которые не уделяют должного внимания аудиту и блокировке старых версий.
На данный момент команда Aztec не опубликовала официального заявления о мерах по возврату средств или компенсации пострадавшим пользователям. Вопрос о том, как мотивировать разработчиков своевременно отключать устаревший код, остаётся открытым для всей криптоиндустрии.