攻击概述
根据Aztec Labs和区块链安全公司BlockSec的报告,攻击者利用了该平台交易验证过程中的一个漏洞,成功创建并提取了未被支持的余额。此次攻击共涉及七笔交易,攻击者盗取了909个以太坊(ETH)、270,000个DAI、167个包裹质押以太坊及其他多种资产。
事件详情
在周日,一个名为Aztec Connect的去中心化金融(DeFi)平台遭遇了加密货币攻击,导致约210万美元的数字资产被盗。Aztec Labs确认正在调查此事件,并发现Aztec Connect的智能合约中的资金被抽走。该公司解释说,此次攻击仅影响了旧版的Aztec Connect平台,并未对当前的Aztec Network用户、资金或资产造成影响。
根据团队的说法,攻击期间大约210万美元的资金从合约中转出。
攻击机制
区块链安全研究人员迅速开始分析此次攻击。安全公司BlockSec报告称,攻击者利用了平台交易验证过程中的一个漏洞。具体而言,零知识证明系统中交易验证的方式与在以太坊上最终解释和结算的方式之间存在不匹配。
由于经过验证的交易未能正确与零知识证明系统强制执行的交易集关联,攻击者得以操控验证路径。这使得智能合约能够识别并记入实际上未在以太坊上验证的价值。因此,攻击者创建了未被支持的余额,随后可以将其作为合法资产提取。
资产损失
此次攻击共重复进行了七次,涉及多种数字资产。根据安全研究人员的说法,攻击者盗取了909个以太坊(ETH)、270,000个DAI、167个包裹质押以太坊及其他几种加密货币。这些资产的总价值约为210万美元。
安全漏洞趋势
这一事件成为加密货币安全漏洞令人担忧的趋势的一部分。DeFiLlama的数据表明,本月以来,至少有十多起单独的攻击导致超过4400万美元被盗。最大的一起事件涉及人类协议(Humanity Protocol),据报道因私钥泄露损失约3000万美元。另一起重大攻击针对Syscoin Bridge,攻击者据称利用虚假证明机制盗取了约800万美元。
平台背景
Aztec Connect于2022年推出,作为一个基于Aztec零知识汇总技术的隐私聚焦DeFi桥。然而,该平台在2023年3月被弃用,开发团队将重心转向下一代Aztec Network。存款已被暂停,旧版平台的支持实际上已被终止。
管理控制权声明
Aztec Labs明确表示,它不再对Aztec Connect合约拥有管理控制权。由于智能合约被设计为完全不可变,团队无法在安全事件发生后暂停、升级或修改它们。
