Друга атака на Aztec Network: мільйонні збитки
Невідомі зловмисники вивели з криптографічного проєкту Aztec Network цифрові активи на суму приблизно 2,21 мільйона доларів США. Серед викрадених коштів – 1158 ефірів, 150 000 токенів DAI та 0,4696 renBTC. Аналітики компанії SlowMist, що спеціалізується на безпеці блокчейну, повідомили, що це вже друга подібна атака на протокол за останній тиждень.
Технічні деталі вразливостей
Інцидент стався через компрометацію контракту RollupProcessor. Виявлена уразливість полягала у відсутності критично важливих механізмів контролю доступу. Зокрема, були відсутні модифікатори, що обмежують доступ виключно власнику контракту, а також механізми авторизації провайдера та перевірки підписів. Додатковою проблемою став контракт TurboVerifier. Він помилково прийняв докази через функцію «аварійного виходу» (escape hatch). Цей механізм призначений для екстреного виведення коштів із системи, але зловмисник скористався ним, встановивши нульовий розмір пакету. Теоретично, система мала повністю зупинити обробку платежів. Однак, «аварійний вихід» продовжив працювати, приймаючи фальшиві докази про необхідність здійснення платежів.
SlowMist TI Alert@aztecnetwork has been exploited again.
Loss: 1,158 ETH+150,000 DAI+0.4696 renBTC (~$2,209,704.23 USD)
Root Cause: The `RollupProcessor.escapeHatch()` function (`0x737901bea3eeb88459df9ef1be8ff3ae1b42a2ba`) lacks access control: no `onlyOwner`, no…
— SlowMist (@SlowMist_Team) June 18, 2026
В результаті, зловмисники надіслали неправдиві дані з адресою для переказу та зазначеним обсягом токенів. Система сприйняла ці дані як легітимні, не перевіривши наявність коштів у хакерів та їхнє право на виведення. Як наслідок, зовнішній акаунт зловмисників (адреса 0x6952…8e97f) зміг однією транзакцією вивести 1158 ETH. Команда Aztec Network наразі не надала офіційних коментарів щодо цього інциденту. Aztec Network – це один із провідних приватних ZK-rollup-рішень для мережі Ethereum. Нагадаємо, що попередня атака на проєкт, яка завдала збитків приблизно на 2,19 мільйона доларів, сталася всього за кілька днів до цього. Тоді експлойт зачепив застарілий контракт Aztec Connect RollupProcessorV3.
Резюме Crypto Top: Цей інцидент демонструє зберігаючі ризики в DeFi, навіть у проєктів, що спеціалізуються на приватності. Повторні атаки на Aztec Network можуть підірвати довіру до протоколу та вплинути на біржові котирування пов’язаних токенів, а також потенційно посилити регуляторний тиск на сектор ZK-rollup.