加密新闻

18.06.2026
12:49

被废弃的Aztec Connect协议再次遭受攻击:黑客又盗取了220万美元

长期处于非活跃状态的隐私交易协议Aztec Connect再次成为黑客攻击的目标。6月18日,攻击者从其智能合约中盗取了约220万美元的额外资金。这是该协议一周内遭受的第二次打击——首次攻击发生在6月14日。

二次攻击细节

此次攻击者共窃取1158枚ETH、15万枚DAI及约0.47枚renBTC代币。攻击机制与上次类似,但目标锁定为不同的流动性池,并通过另一入口点实施。漏洞根源在于escapeHatch(紧急逃生舱)功能——该功能本应允许用户在系统故障时直接提取资金。问题在于该功能完全关闭了权限验证机制。实质上,这扇门对任何人都敞开着。

攻击者仅向智能合约提交了伪造的资产所有权"证明",合约未进行有效验证便转移了他人加密货币。关键在于Aztec Labs团队早已从主代码库中删除了该脆弱机制。然而已部署的链上合约仍保留着旧版"休眠"模块。这已足够致命——漏洞在所有人认为已失效的代码中潜伏多年,静待时机。

为何无法阻止攻击

核心因素在于协议状态。Aztec Connect曾是以太坊上用于隐私DeFi操作的桥梁,但已于2023年停用,团队转向新项目。关闭后,开发者放弃了管理密钥,使合约变为不可变(immutable)。这意味着代码将永久冻结在链上:无法更新、修复或暂停。Aztec Labs团队根本缺乏技术手段进行干预并阻止盗窃。

需重点强调:本次事件与AZTEC代币及当前活跃的Aztec网络完全无关——这是完全独立的系统。此案例鲜明揭示了DeFi的隐藏风险:只要智能合约中存有资金,即便已被废弃,仍会成为攻击目标。据DeFiLlama数据,仅2026年6月,至少12起攻击事件已造成约4400万美元损失。

专家观点: 此事件堪称DeFi领域"僵尸风险"的典型案例。开发者常忽视:放弃管理密钥并不能使协议安全,反而剥夺了应对威胁的能力。任何持有流动性的代码都是活跃目标,投资者在"死亡"合约中留存资金时必须警惕这一点。Aztec Connect的遭遇是对所有依赖废弃协议"安全性"者的警示。