Aztec Connect再遭重创:黑客从废弃协议中又盗走220万美元
被遗弃的机密协议Aztec Connect继续吸引着攻击者的注意。6月18日,我记录到一次针对其智能合约的新攻击,导致约220万美元的加密货币被盗。这是继6月14日黑客攻击后一周内的第二起事件,表明存在一个黑客正在积极利用的系统性漏洞。
二次盗窃是如何发生的
这次,攻击者提取了1158枚ETH、15万枚DAI和约0.47枚renBTC代币。攻击方法在很大程度上与之前相同:黑客再次利用了escapeHatch(紧急逃生舱)功能中的漏洞。该机制本意是作为用户的备用出口,允许在主系统故障时直接提取资金。然而,关键错误在于缺乏访问权限检查——这扇门对任何人都敞开着。
漏洞利用的本质很简单:系统本应验证用户是否确实拥有其试图提取的资产。由于代码缺陷,黑客能够提交伪造的“所有权证明”,而合约在没有进行适当验证的情况下,将他人资金交给了黑客。值得注意的是,开发人员早已从主代码中删除了这个易受攻击的机制,但部署在网络上的合约仍然包含旧的验证模块。实际上,这个漏洞多年来一直潜伏在所有人都认为已停用的代码中,等待着时机。
为什么无法阻止攻击
问题的根源在于Aztec Connect的状态。这是一个早已被遗弃的产品,早在2023年Aztec Labs团队转向新网络时就已停止使用。关闭后,开发人员放弃了管理密钥,合约变得不可更改(immutable)。这意味着代码永远冻结在网络上:无法更新、修复或暂停。团队根本没有技术能力进行干预并阻止盗窃。
需要强调的是,此事件既不涉及AZTEC代币,也不影响正在运行的Aztec网络——这是一个完全独立的系统。尽管如此,这一案例再次展示了DeFi的隐藏危险:即使是废弃的智能合约,只要其中存有资金,就仍然是攻击目标。根据DeFiLlama的数据,仅在2026年6月,至少12次攻击就盗走了约4400万美元。
专家观点: 这一事件是“被遗忘”的协议如何成为生态系统定时炸弹的鲜明例证。用户在与任何智能合约交互时,都应批判性地评估风险,特别是当项目已正式停止支持时。如果合约中仍有资产,缺乏代码更新能力不是保护,而是致命漏洞。