加密新闻

18.06.2026
12:35

废弃的Aztec Connect协议再次遭受攻击:黑客又盗取了220万美元

长期被视为"死亡"项目的Aztec Connect隐私交易协议再次成为黑客攻击目标。6月18日,攻击者从其智能合约中盗取了约220万美元的额外资金。这是该协议一周内遭受的第二次打击——首次攻击发生在6月14日。

此次攻击者窃取了1158枚ETH、15万枚DAI及约0.47枚renBTC代币。攻击手法与上次高度相似,但针对的是不同流动性池,并通过另一入口向量实施。与首次攻击相同,核心漏洞仍在于escapeHatch(紧急提款)功能。

"紧急逃生舱"如何运作?为何会门户大开?

escapeHatch功能本是开发者预留的备用通道,供用户在核心系统故障时提取资产。但代码中存在致命缺陷:缺乏权限验证机制。实际上,任何人都能调用该功能,通过伪造资产所有权"证明"来申领他人资产。合约会无条件信任这些虚假数据,并将资金转给攻击者。

值得注意的是,开发者早已从主代码中删除了该漏洞机制。但已部署在链上的智能合约仍包含旧版验证模块。这颗定时炸弹在所有人认为已停用的代码中潜伏多年,静待时机爆发。

为何无法阻止攻击?

问题根源在于Aztec Connect的架构本身。这个被废弃的产品早在2023年就已停用,当时Aztec Labs团队转向开发新网络。项目关闭后,开发者放弃了管理密钥,使合约变为不可篡改状态(immutable)。这意味着代码永远冻结在链上:无法更新、修复或暂停。团队根本没有技术手段干预并阻止盗币行为。

需要强调的是,此次事件既不涉及AZTEC代币,也不影响正在运行的Aztec网络——这是完全独立的系统。但该案例再次暴露了DeFi生态的潜在危险:只要智能合约中存有资金,即便是被遗弃的合约仍是攻击目标。据DeFiLlama数据,仅2026年6月就发生至少12起攻击事件,被盗金额约4400万美元。

专家观点: Aztec Connect事件是DeFi领域"遗产缺陷"的典型案例。当项目关闭且合约变为不可篡改时,任何隐藏漏洞都会变成失控的炸弹。社区亟需制定智能合约"退休标准":建立流动性强制退出机制,或自动销毁废弃协议的机制。