Неизменяемый код заброшенного смарт-контракта Aztec Connect продолжал хранить криптоактивы, и злоумышленники вывели оттуда $2,1 млн, воспользовавшись отсутствием обслуживания. Сам проект прекратил работу ещё в марте 2023 года.
Почему хакеры смогли обездвижить средства из мёртвого контракта
Aztec Connect была официально закрыта разработчиками в марте 2023 года, однако её смарт-контракт остался в сети Ethereum
ETH$1,820.21+9.33%. Из-за свойства неизменяемости (immutability) код нельзя было остановить или изменить, поэтому все средства, которые пользователи когда-либо внесли в контракт, остались доступны для взаимодействия.
Злоумышленники нашли способ обойти логику контракта и вывели $2,1 млн в различных криптоактивах. По данным CoinTelegraph, эксплойт стал возможен именно из-за того, что разработчики перестали поддерживать и мониторить проект.
Какие риски для DeFi вскрыл взлом Aztec Connect
Инцидент с Aztec Connect — наглядный пример рисков, связанных с неизменяемыми смарт-контрактами. Даже после прекращения поддержки проекта его код продолжает работать, и если в нём есть уязвимости или неучтённые сценарии, злоумышленники могут их использовать.
Любой смарт-контракт, который нельзя обновить, остаётся мишенью для хакеров навсегда — даже если команда объявила о закрытии проекта.
В криптосообществе уже обсуждают необходимость внедрения механизмов «аварийного тормоза» (kill switch) или обновляемых прокси-контрактов для DeFi-протоколов, чтобы подобные ситуации не повторялись.
Что значит взлом для пользователей приватных решений на Ethereum
Aztec Connect была одним из решений второго уровня (Layer 2) на базе технологии zero-knowledge (доказательства с нулевым разглашением), ориентированным на приватные транзакции в сети Ethereum. Её закрытие в 2023 году было связано с переориентацией команды на новый проект.
Этот случай напоминает, что даже «мёртвые» протоколы могут нести финансовую опасность. Инвесторам стоит проверять, есть ли у смарт-контракта возможность обновления или остановки, прежде чем вносить средства в долгосрочные DeFi-продукты.
На данный момент неизвестно, вернут ли пострадавшие пользователи свои средства, и будут ли разработчики Aztec Connect как-то реагировать на инцидент.