18.06.2026
12:10
过时的Aztec合约再次遭受攻击:黑客盗走215万美元

6月18日,一名攻击者成功攻击了Aztec二层网络中的一个非活跃智能合约。据我估算,损失约为215万美元。这已是本周第二起事件,直观地暴露了旧协议遗留资产的风险。
此次攻击针对的是已于2022年停用的旧版产品Aztec Payments。需要强调的是:当前项目的基础设施及用户在主网中的资产并未受损。漏洞出现在PrivateRollupBridge合约中——黑客利用了证明验证逻辑的缺陷。他仅花费0.134 ETH(约230美元)便实施了攻击,这表明其对代码有深刻理解。
最终,攻击者盗取了1158枚ETH、15万枚DAI和0.47枚renBTC。被盗资产总价值超过200万美元。
Aztec Labs团队确认了该事件,但指出他们不持有管理密钥,无法冻结合约或发布更新。这是不可变智能合约的典型问题:一旦代码部署,控制权便永久丧失。在此案例中,旧合约已在二层网络中被冻结,但攻击者找到了绕过其逻辑的方法。
需要提醒的是,6月14日类似攻击波及了另一个旧版路由器合约,造成近219万美元损失。短期内累计损失超过400万美元,这指向一个系统性问题:被遗忘但仍活跃的合约是黑客的诱人目标。
我的分析:此次事件鲜明地说明,项目方必须进行审计并及时停用旧合约,而非任其留在网络中。部署后缺乏治理机制是一把双刃剑:一方面可防止审查,另一方面却对漏洞毫无防御。若Aztec不设法保护遗留资产,此类攻击将常态化。