2026年6月15日UTC 10:29:11,Aztec Labs确认其已弃用的 Aztec Connect 桥合约出现漏洞,造成约210万美元损失。该事件未影响活跃的 Aztec Network 的二层汇总方案,但凸显了遗留 DeFi 基础设施中持续存在的风险。
漏洞机制
安全公司 BlockSec 报告称,已验证的交易输入与以太坊结算逻辑之间的不匹配,导致智能合约在未进行充分证明验证的情况下记入资产。这个绑定不一致使攻击者能够引入“无抵押”的交易并在七个资产池中多次提取资金。
- 被盗资产:909 ETH、270,000 DAI、167 wstETH,以及若干其他代币。
- 此次漏洞通过七次重复提款步骤实施。
- 合约在2023年3月弃用,存款被停止;没有管理员密钥。
不可变性与风险
Aztec Connect 合约在弃用后被完全设为不可变,无法暂停或升级。由于没有管理控制,Aztec Labs 只能进行调查并报告取证结果,而无法中和被污染的代码。
DeFi 攻击背景
此次漏洞是2026年6月 DeFi 损失的更广泛模式的一部分,总额超过4400万美元,涉及12起攻击。此前事件包括 Humanity Protocol 的3000万美元私钥盗窃,以及 Syscoin Bridge 因证明机制缺陷造成的800万美元攻击。
经验教训与后续步骤
投资者和开发者应当记住,废弃系统在用户活动停止很久后仍可能存在漏洞。协议团队必须制定弃用策略,包括安全的逐步停用或链上禁用机制。社区将关注关于交易绑定失败的详细取证披露,并评估其他已弃用桥合约是否仍存在类似漏洞。
安全审计、持续监控以及智能合约的全生命周期管理对于缓解去中心化金融中的系统性风险至关重要。
评论 (0)