黑客再次洗劫废弃的Aztec Connect:又有220万美元蒸发
长期被视为"已死"的Aztec Connect协议仍在持续造成损失。6月18日,攻击者对其智能合约发动了第二次攻击,又盗走了约220万美元。这距离6月14日首次攻击仅过去四天,使得这一事件对整个DeFi行业具有特别的警示意义。
此次黑客盗走了1158枚ETH、15万枚DAI和约0.47枚renBTC。攻击手法与上次如出一辙,但攻击者瞄准了另一个流动性池,使用了不同的入口点。
"紧急逃生舱"的致命弱点
漏洞隐藏在escapeHatch函数中——这个机制理论上应允许用户在主要系统失效时紧急提取资金。问题在于,该函数完全缺乏权限检查。本质上,任何知道如何敲门的人都可以随意进入。
简单来说,系统本应验证用户确实拥有其试图提取的资产。但由于代码错误,这一验证流程可以被绕过。黑客只需出示伪造的"所有权证明",合约就会毫不犹豫地将他人的加密货币拱手相送。
最令人担忧的是:开发者早已从主代码中删除了这个易受攻击的模块。然而,已部署在链上的合约仍然包含旧版、有漏洞的验证模块。这个漏洞在所有人都认为已失效的代码中潜伏多年,终于等到了被利用的时刻。
为何无法阻止盗窃
问题的根源在于Aztec Connect是一个早已被废弃的产品。该协议于2023年停用,当时Aztec Labs团队转向了新的网络。关闭后,开发者放弃了管理密钥,使合约变得不可更改(immutable)。这意味着代码永远冻结在链上:无法更新、修复或暂停。团队根本没有技术手段介入并阻止盗窃。
需要强调的是:此次事件不涉及AZTEC代币或正在运行的Aztec网络——这是一个完全独立的系统。然而,这一案例再次凸显了DeFi的隐藏风险:即使是被遗弃的智能合约,只要其中存有资金,就仍是攻击目标。据DeFiLlama数据,仅2026年6月,至少12次攻击就盗走了约4400万美元。
分析师评论:这个故事对所有市场参与者都是一堂严峻的课程。带有流动性的"被遗忘"合约就像定时炸弹。在社区制定出废弃协议的"回收"标准(例如在放弃管理密钥前强制用户提取资金)之前,此类事件将不断重演。对"死亡"流动性池的警惕程度,应与对待新的、未经审计的项目一样。