加密新闻

18.06.2026
13:06

被遗忘的Aztec Connect合约再次遭窃:黑客又盗走220万美元

被废弃的隐私协议Aztec Connect持续造成损失。6月18日,攻击者再次对其发起攻击,盗走约220万美元。这已是本周内第二起事件:首次攻击发生在6月14日,如今黑客又找到了另一种清空流动性池的方法。

此次受害的是另一个资金池。黑客盗走了1158枚ETH、15万枚DAI以及约0.47枚renBTC代币。两次攻击造成的总损失已超过400万美元,这对整个DeFi生态系统而言是一个警示信号。

漏洞如何被利用

问题的根源在于escapeHatch函数——这一机制最初被设计为“紧急出口”,用于在主系统故障时让用户提取资金。Aztec开发团队在2023年关闭项目时,已将该函数从主代码中移除。然而,分析显示,部署在链上的智能合约仍包含一个旧版验证模块,且该模块缺乏任何权限检查。

本质上,黑客利用了验证缺失的漏洞:他只需提交虚假的“资产所有权证明”,而合约因无法验证其真实性,便毫无保留地交出了他人资产。这个漏洞在所有人认为已停用的代码中潜伏多年,终于被触发。

为何攻击无法被阻止

这一事件的关键悲剧在于Aztec Connect的架构特性。项目关闭后,Aztec Labs团队放弃了管理密钥,使合约变得完全不可更改(immutable)。这意味着代码在链上永久冻结:无法更新、修复或暂停。开发者根本没有技术手段介入并阻止盗窃。

需要强调的是:此事件与AZTEC代币或当前运行的Aztec网络无关。这是一个完全孤立、已废弃的系统。但该案例生动揭示了DeFi的潜在危险:即使是被遗弃的智能合约,只要其中存有资金,就会成为诱人目标。据DeFiLlama数据,仅2026年6月,至少12起攻击事件已导致约4400万美元被盗。

作为分析师,我的评论: 这个案例并非简单的代码缺陷故事,而是对整个行业的根本性教训。被遗弃且资金冻结的合约如同“定时炸弹”。项目团队在关闭产品时,必须引入“自毁”机制或强制流动性提取功能。否则,此类事件将反复发生,直至黑客将资金洗劫一空。