在 2026 年 6 月 15 日 10:29:11 UTC,Aztec Labs 確認其已棄用的 Aztec Connect 跨鏈橋合約出現漏洞,造成約210萬美元的損失。該事件未影響活躍的 Aztec Network 第二層 Rollup,但凸顯遺留 DeFi 基礎設施中持續存在的風險。
漏洞機制
安全公司 BlockSec 指出,驗證過的交易輸入與以太坊結算邏輯之間的不匹配,允許智能合約在未經適當證明驗證的情況下注入資產。這一綁定差異使攻擊者能引入「無抵押」交易,並在七個資產池中多次提取資金。
- 被盜資產:909 ETH、270,000 DAI、167 wstETH,以及其他若干代幣。
- 此次漏洞透過七次重複提款步驟發生。
- 合約於 2023 年 3 月棄用,停止存款,且不再留有管理鑰匙。
不可變性與風險
Aztec Connect 合約在棄用後被完全設定為不可變,阻止任何暫停或升級。由於沒有管理控制,Aztec Labs 只能進行調查並報告取證結果,無法中和被入侵的程式碼。
去中心化金融攻擊的背景
此次事件是 2026 年 6 月 DeFi 損失的更廣泛模式的一部分,總額超過 4400 萬美元,涵蓋 12 起攻擊。早前的事件包括 Humanity Protocol 的 3000 萬美元私鑰被竊,以及 Syscoin Bridge 的 800 萬美元漏洞,原因是證明機制存在缺陷。
教訓與下一步
投資者與開發者被提醒,棄用系統在使用者活動停止很久之後仍可能存在漏洞。協議團隊必須規劃棄用策略,其中應包含安全的日落機制或鏈上禁用機制。社群將關注對交易綁定失敗的詳細取證披露,並評估其他已退休的橋接合約是否仍存類似漏洞。
安全審計、持續監控,以及智能合約的生命週期管理,對於降低去中心化金融的系統性風險至關重要。
評論 (0)