$2,1 млн, 908 ETH и контракт, который нельзя остановить. Как из заброшенного Aztec Connect вывели деньги через старый эксплойт

В старом криптосервисе Aztec Connect обнаружили возможный эксплойт: из неизменяемого смарт-контракта вывели около $2,1 млн. Aztec Labs сообщила о расследовании инцидента и указала транзакцию в Ethereum, где средства ушли с контракта Aztec: Connect на адрес, который Etherscan уже помечает как Aztec Exploiter 1.

Транзакция прошла 14 июня. С контракта вывели 908,9867 ETH, а также несколько токенов ERC-20, включая DAI, wstETH, yvDAI, yvWETH, LUSD и yvLUSD. Среди крупнейших переводов Etherscan показывает 270 513 DAI и 167,89 wstETH. Общую сумму Aztec Labs оценивает примерно в $2,1 млн.

Aztec Connect был сервисом для конфиденциальных операций в Ethereum. Протокол использовал доказательства с нулевым разглашением, чтобы пользователи могли взаимодействовать с DeFi-сервисами без раскрытия всех деталей операций в публичной сети. Команда Aztec вывела Aztec Connect из эксплуатации еще три года назад и предупредила пользователей о необходимости вывести средства.

Главная проблема для пострадавших пользователей связана с тем, что контракт Aztec Connect является неизменяемым. Aztec Labs заявляет, что не хранит админ-ключи и не контролирует систему, поэтому команда не может поставить контракт на паузу, обновить код или откатить подозрительные операции. Неизменяемость смарт-контракта защищает протокол от ручного вмешательства, но при найденной уязвимости лишает разработчиков аварийных рычагов.

Aztec Labs пообещала опубликовать новые данные после проверки. Пока компания не раскрыла техническую причину возможного эксплойта и не сообщила, затронул ли инцидент пользователей, которые оставили средства в старой инфраструктуре после закрытия Aztec Connect.