加密新闻

18.06.2026
12:04

Aztec Connect 崩溃:重放攻击为黑客再添 220 万美元

废弃协议Aztec Connect再次成为黑客攻击的受害者。6月18日,攻击者从其智能合约中又盗取了约220万美元的额外资金。这是继6月14日攻击事件后,一周内发生的第二起安全事件。

第二次攻击的细节

此次攻击者盗走了1158枚ETH、15万枚DAI以及约0.47枚renBTC代币。攻击结构在很大程度上与上一次相似,但目标转向了另一个流动性池,并通过不同的入口点实施。安全专家,特别是来自BlockSec Phalcon和SlowMist的专家,迅速识别出了攻击机制。

与上次一样,漏洞根源在于escapeHatch函数——即所谓的"紧急逃生舱"。该机制本意是让用户在核心系统故障时能够直接取回自己的资金。然而,关键错误在于缺乏适当的权限检查。黑客只需出示伪造的资产所有权"证明",合约在未进行验证的情况下,就会无条件地将他人资金转移给他。

为何无法阻止攻击

情况更加严峻的是,Aztec Connect是一个早已被废弃的产品。该协议曾是以太坊上隐私DeFi操作的桥梁,早在2023年就已停止运营,当时Aztec Labs团队转向了新区块的开发。

关闭后,开发者放弃了合约的管理密钥,使其变得完全不可更改(immutable)。这意味着代码永远冻结在网络上:无法更新、修复或暂停。Aztec Labs团队根本没有技术能力进行干预并阻止盗窃。

需要强调的是,此事件既不涉及AZTEC代币,也不影响正在运行的Aztec网络——这是一个完全独立的系统。然而,此案例有力地提醒了DeFi的隐藏危险:即使是"死亡"和废弃的智能合约,只要其中存有资金,就仍然是攻击目标。

我的分析:这种情况是一个典型例子,说明在放弃项目时忽视"不伤害"原则,可能会直接导致用户的经济损失。Aztec Connect的事件应该成为整个行业的警示信号:在关闭协议时,必须设计安全迁移或完全清算合约的机制,而不是简单地让它们"永远漂流"。根据DeFiLlama的数据,仅2026年6月,至少12次攻击就盗走了约4400万美元——如果不改变对过时智能合约的管理方式,这个数字只会继续增长。