Am 15. Juni 2026 um 10:29:11 UTC bestätigte Aztec Labs einen Exploit an seinem veralteten Aztec Connect Bridge-Vertrag, der einen Verlust von ca. 2,1 Mio. USD verursachte. Der Vorfall beeinträchtigte nicht den aktiven Aztec Network Layer-2-Rollup, unterstreicht aber die anhaltenden Risiken in der veralteten DeFi-Infrastruktur.
Exploit-Mechanismus
Die Sicherheitsfirma BlockSec berichtete, dass eine Diskrepanz zwischen verifizierten Transaktionseingaben und der Ethereum-Abwicklungslogik es dem Smart Contract ermöglichte, Vermögenswerte ohne ordnungsgemäße Beweisvalidierung gutzuschreiben. Diese Bindungsdifferenz ermöglichte es dem Angreifer, „nicht gedeckte“ Transaktionen einzuführen und Gelder mehrfach über sieben Vermögenspools hinweg abzuheben.
- Gestohlene Vermögenswerte: 909 ETH, 270.000 DAI, 167 wstETH und mehrere weitere Token.
- Exploit erfolgte über sieben wiederholte Abhebungsschritte.
- Die Deaktivierung des Vertrags stoppte Einzahlungen im März 2023; es blieben keine Admin-Schlüssel mehr.
Unveränderlichkeit und Risiko
Die Aztec Connect-Verträge wurden bei der Deaktivierung vollständig unveränderlich gemacht, wodurch ein Pausieren oder Upgraden verhindert wurde. Ohne administrative Kontrollen konnte Aztec Labs lediglich Ermittlungen durchführen und forensische Ergebnisse melden, ohne den kompromittierten Code zu neutralisieren.
Kontext der DeFi-Exploits
Dieser Verstoß ist Teil eines breiteren Musters von DeFi-Verlusten im Juni 2026, insgesamt über 44 Mio. USD in 12 Exploits. Frühere Vorfälle umfassen einen Diebstahl privater Schlüssel in Höhe von 30 Mio. USD bei Humanity Protocol und einen Exploit der Syscoin-Bridge über 8 Mio. USD aufgrund eines fehlerhaften Beweisverfahrens.
Lehren und nächste Schritte
Investoren und Entwickler werden daran erinnert, dass veraltete Systeme auch lange nach Stilllegung der Benutzeraktivität verwundbar bleiben können. Protokollteams müssen Deaktivierungsstrategien planen, die sicheres Ausglühen oder On-Chain-Deaktivierungsmechanismen einschließen. Die Community wird auf detaillierte forensische Offenlegungen zum Fehler der Transaktionsbindung achten und bewerten, ob ähnliche Schwachstellen in anderen stillgelegten Bridge-Verträgen bestehen.
Sicherheitsaudits, kontinuierliche Überwachung und das Lebenszyklusmanagement von Smart Contracts sind entscheidend, um systemische Risiken im dezentralen Finanzwesen zu mindern.
Kommentare (0)