安全研究人员警告说,弃用的智能合约在项目停止维护后仍可能长期存在漏洞。
废弃的Aztec基础设施在几天内遭遇了第二次攻击,进一步加剧了对被遗弃智能合约基础设施安全性的担忧。
据网络安全公司SlowMist联合创始人Cos称,Aztec的私人rollup桥周四被利用,损失了1,158 Ether(ETH)、150,000 Dai(DAI)和0.46 renBTC(RENBTC),总额约为215万美元。
他的初步分析发现,攻击者使用了虚假的汇总证明来欺骗协议,将资产从储备释放到攻击者的地址。
Aztec Labs证实了这一漏洞,并补充说,大约200万美元是从一个2022年弃用的支付产品的不可篡改智能合约中转出的,而Aztec Labs对该产品没有管理员密钥或暂停交易的能力。
Aztec Labs表示,此次事件与周日从Aztec Connect智能合约中被盗的210万美元是分开的。Aztec Connect 是一个以隐私为核心的汇总项目,于2023年3月被淘汰,团队停止存款并将资源转移到下一代 Aztec 网络。
Cointelegraph曾联系Aztec Labs获取该漏洞的更多细节,但尚未收到公开回复。
旧智能合约引发新的安全隐患
这两起Aztec漏洞,加上今年六月早些时候从去中心化交易所Raydium被盗的130万美元事件,重新引发了人们对弃用智能合约的担忧,因为这三起事件都源于废弃基础设施的漏洞。
“旧合同依然是黑客可用的漏洞赏金。随着协议剥夺了它们维护责任,风险分析平台Blockful在周二X的一篇文章中写道。
尽管Aztec Connect已被弃用,攻击者在最初的漏洞中提取了超过210万美元,因为该不可更改的合同仍持有遗留用户资产,SlowMist在对事件的事后分析中写道。
对于那些仍持有遗留资产的已弃用智能合约协议,SlowMist建议有序地进行资产迁移,以消除持续的网络安全风险。
