加密新闻

6月14日发生的一起事件再次提醒我们DeFi的根本问题：代码不会老化，但漏洞永远存在。攻击者成功从Aztec Connect协议的智能合约中盗取了超过210万美元，而该协议早在三年前就已正式关闭并废弃。

区块链安全专家发现了一笔可疑交易，导致资金被掏空。攻击原因在于智能合约机制内对证明（proofs）的验证不完整。关键错误在于合约仅检查了证明的开头部分，而忽略了另一部分数据中嵌入的代币转账指令。这是验证逻辑与执行逻辑不匹配的典型案例，使攻击者能够篡改提款机制，并从合约角度合法地提取了约219万美元。

Aztec团队的回应

Aztec基金会确认已收到可能遭到攻击的通知。团队强调，此次事件不影响当前的AZTEC代币（ERC-20）以及Aztec主网上的活跃合约。但关键点在于，Aztec Labs已不再管理Aztec Connect协议。正如开发者所言："Aztec Labs没有管理密钥，也无法控制该系统。我们无法停止或更新它。"这意味着，困在或存留在过时合约中的资金实际上已毫无防护地暴露在攻击风险之下。

此次攻击并非孤立事件。就在几天前，Solana网络上的Raydium（RAY）也遭到攻击，黑客从五个过时的流动性池中盗取了约130万美元。据分析平台数据显示，自6月初以来，DeFi黑客攻击造成的总损失已超过4393万美元。

我的分析：这起事件对整个社区来说是一个严峻的教训。它表明，"已死"的协议不仅仅是区块链上的存档记录，而是活跃的攻击目标。任何曾经部署过的智能合约，只要其逻辑存在漏洞，就始终面临被攻击的风险。用户和项目团队在清理和迁移过时合约中的资金时，必须格外谨慎。将资产留在无法更新的"休眠"协议中，无异于直接将其拱手让人。