加密新闻

18.06.2026
11:29

Aztec Connect再遭重创:黑客从废弃协议中又盗走220万美元

6月18日,攻击者对废弃协议Aztec Connect发动了第二次攻击,盗取约220万美元。这距离6月14日的首次攻击仅过去数日。据我的同事BlockSec Phalcon和SlowMist透露,黑客提取了1158枚ETH、15万枚DAI以及约0.47枚renBTC代币。

第二次攻击与首次高度相似,但目标转向了另一个流动性池,并通过不同的入口点实施。与上次一样,漏洞出现在escapeHatch函数——即所谓的"紧急逃生舱"。该机制旨在当主系统失效时,允许用户直接取回资金。问题在于该函数缺乏访问权限验证:本质上,这扇门对任何人都敞开着。

攻击如何得手

简单来说,系统本应验证用户是否真正拥有其试图提取的资产。但由于代码错误,这一验证流程可以被绕过。攻击者提交了伪造的"资产所有权证明",而合约竟信以为真,将他人加密货币拱手相让。一个有趣的细节是:开发者早已从主代码中删除了这个脆弱机制。然而部署在链上的合约仍包含旧版验证模块,这已足以让攻击得逞。本质上,这个漏洞在所有人都认为已停用的代码中潜伏多年,终于等来了机会。

为何无法阻止攻击

问题的根源在于Aztec Connect早已是废弃产品。该协议曾是以太坊区块链上DeFi隐私操作的桥梁,但早在2023年就被停用——当时Aztec Labs团队已转向新网络。关闭后,开发者放弃了管理密钥,合约变得不可更改(immutable)。这意味着代码永远冻结在链上:无法更新、修复或暂停。团队根本没有技术手段介入并阻止盗窃。

需要强调的是:此事件既不涉及AZTEC代币,也不影响正在运行的Aztec网络——这完全是独立的系统。该案例再次揭示了DeFi的潜在危险:即使是被遗弃的智能合约,只要其中存有资金,就仍是攻击目标。据DeFiLlama数据,仅2026年6月,至少12次攻击已导致约4400万美元被盗。

我的专家观点:此事件为整个行业敲响了警钟。带有流动性的废弃协议如同"定时炸弹"。团队必须在停止支持时引入强制停用或自动提款机制,否则类似事件将不断重演。