2026年6月15日10:29:11 UTC,Aztec Labs 确认其已弃用的 Aztec Connect 桥接合约被利用,造成约210万美元损失。此次事件未影响活跃的 Aztec Network 二层汇总(rollup),但凸显了遗留去中心化金融基础设施中的持续风险。
漏洞机制
安全公司 BlockSec 报告称,经过验证的交易输入与以太坊结算逻辑之间存在不匹配,导致智能合约在未进行充分证明验证的情况下记入资产。这种绑定不一致使攻击者能够引入“无抵押的”交易,并在七个资产池中多次提取资金。
- 被盗资产:909 ETH、270,000 DAI、167 wstETH,以及其他若干代币。
- 此次利用通过七次重复提现步骤发生。
- 合约弃用导致2023年3月停止存款;不再保留管理员密钥。
不可变性与风险
Aztec Connect 合约在弃用后被完全设为不可变,无法暂停或升级。由于缺乏管理控制,Aztec Labs 只能进行调查并披露取证结果,无法消除被篡改的代码。
DeFi 攻击背景
此次漏洞是2026年6月去中心化金融损失的更广泛模式的一部分,累计超过4400万美元,涉及12起攻击。早期事件包括 Humanity Protocol 的3000万美元私钥盗窃,以及 Syscoin Bridge 因证明机制缺陷导致的800万美元利用。
教训与后续步骤
投资者和开发者应被提醒,弃用系统在用户活动停止后仍可能存在漏洞。协议团队必须制定弃用策略,包括安全的退役或链上禁用机制。社区将关注有关交易绑定失败的详细取证披露,并评估其他已停用的桥接合约是否存在类似漏洞。
对智能合约进行安全审计、持续监控和生命周期管理对于降低去中心化金融的系统性风险至关重要。
评论 (0)