6 月 17 日,Aztec Labs 在不到一周的时间里遭遇了第二次攻击,攻击者从该项目已弃用的 Private Rollup Bridge 中盗取了约 216 万美元。据区块链安全公司 SlowMist 称,受感染的系统最初于 2021 年启动,并于 2022 年正式关闭。尽管已退役,但其不可变的智能合约仍然在以太坊区块链上运行。
攻击者成功提取 1,158 ETH、150,000 DAI 和 0.47 renBTC。值得注意的是,在执行攻击之前,漏洞钱包 (0x73790…42a2ba) 最初仅从加密货币交易所 HitBTC 获得了 0.134 ETH 的资金。
慢雾研究人员发现了桥梁“逃生舱口”功能中的漏洞,这是一种缺乏关键安全验证的紧急撤离机制。该合约未能独立验证资金所有权和不正确信任的交易数据,导致攻击者(0x695…78e97f)提交伪造的提款证明并欺骗系统释放资产。
Aztec Labs 强调,被利用的基础设施与当前的 Aztec 网络或 AZTEC 代币没有任何连接。该公司确认该桥作为不可变的第 2 阶段汇总运行,自 2022 年以来一直处于非活动状态。由于合同是不可变的,Aztec Labs 无法暂停、升级或干预受影响的系统,并且不再保留管理控制权。
此事件紧随 6 月 14 日针对已弃用的 Aztec Connect 产品的另一次攻击而发生,导致损失超过 215 万美元。
在最新的违规消息传出后,AZTEC 代币下跌了约 1.6%,交易价格接近 0.0160 美元,因为市场参与者对涉及协议遗留组件的反复出现的安全问题做出了反应。