於 2026 年 6 月 15 日 UTC 10:29:11,Aztec Labs 確認其過時的 Aztec Connect 橋合約出現漏洞,導致約 210 萬美元的損失。此事件未影響正在運行的 Aztec Network 第二層 Rollup,但凸顯了遺留去中心化金融基礎設施中持續存在的風險。
漏洞機制
安全公司 BlockSec 指出,驗證的交易輸入與以太坊結算邏輯之間的差異,允許智慧合約在未經適當證明驗證的情況下入賬資產。這種綁定差異使攻擊者能夠引入「無抵押」交易,並在七個資產池中多次提取資金。
- 被盜資產:909 ETH、270,000 DAI、167 個 wstETH,以及其他若干代幣。
- 此次漏洞是透過七次重複提款步驟發生。
- 合約於 2023 年 3 月停止存款;不再保留任何管理金鑰。
不可變性與風險
Aztec Connect 合約在退役後被完全設為不可變,無法暫停或升級。由於沒有管理控制,Aztec Labs 只能進行調查並發布法證發現,無法中和被入侵的程式碼。
DeFi 攻擊的背景
此次漏洞屬於 2026 年 6 月 DeFi 損失的更廣泛模式之一,總計超過 4,400 萬美元,涉及 12 起漏洞。早前的事件包括 Humanity Protocol 的 3000 萬美元私鑰竊取,以及 Syscoin Bridge 因證明機制缺陷造成的 800 萬美元漏洞。
教訓與後續步驟
投資者與開發者被提醒,過時系統在用戶活動停止後仍可能存在風險。協議團隊必須制定退役策略,這些策略應包含安全的日落或鏈上禁用機制。社群將密切關注交易綁定失敗的詳盡法證披露,並評估在其他已退役的橋合約中是否仍存類似漏洞。
安全審計、持續監控以及智慧合約的生命週期管理對於降低去中心化金融的系統性風險至關重要。
評論 (0)