У L2-мережі Aztec стався злам старого смартконтракту, який не використовувався з 2022 року. За попередніми оцінками, зловмиснику вдалося вивести активи на суму близько $2,15 млн.
Першими про інцидент повідомили аналітики компанії CertiK. Пізніше факт атаки офіційно підтвердила команда Aztec Labs. За їхніми словами, інцидент не вплинув на роботу актуальної мережі Aztec і не зачепив кошти нинішніх користувачів.
Хакер скористався вразливістю у перевірці доказів
а даними дослідників, причиною атаки стала помилка в механізмі перевірки доказів смартконтракту PrivateRollupBridge.
Зловмисник зміг використати недолік у логіці роботи контракту, що дозволило йому отримати доступ до активів, заблокованих у старій системі.
Примітно, що для проведення атаки хакер витратив лише 0,134 ETH, що на момент інциденту становило приблизно $230.
У результаті йому вдалося вивести:
- 1158 ETH;
- 150 000 DAI;
- 0,47 renBTC.
Загальна вартість викрадених активів оцінюється приблизно у $2,15 млн.
Другий інцидент за тиждень
Це вже не перший випадок компрометації застарілих контрактів Aztec за останні дні. Так 14 червня невідомі атакували інший старий контракт маршрутизатора проєкту та вивели активи майже на $2,19 млн. Таким чином, сукупні втрати через два інциденти перевищили $4 млн.
У Aztec Labs пояснили, що не мають адміністративних ключів доступу до системи та не контролюють роботу цих контрактів після їхнього розгортання.
Через особливості архітектури команда не може примусово заморозити уражені контракти або випустити оновлення для усунення вразливостей. Розробники також підкреслили, що атака стосувалася виключно застарілої інфраструктури, яка давно не використовується в поточній версії мережі Aztec.
