- 27,659
- 46
- 8 Ноя 2022
В DeFi появился новый тренд — грабить мёртвые протоколы. И это работает.
Проект Aztec за несколько дней столкнулся сразу с двумя крупными атаками на устаревшие продукты, из которых злоумышленники вывели в общей сложности более $4 млн.
Новая атака затронула старый платёжный продукт Aztec, созданный в 2021 году. По данным специалиста Cos, из контракта частного моста были выведены 1158 ETH, 150 000 DAI и 0,47 renBTC. Общая сумма составила около $2,15 млн. Aztec Labs сообщила, что проверяет, не эксплуатировали ли уязвимость в устаревшем продукте, который вывели из эксплуатации ещё в 2022 году.
Фонд Aztec уточнил , что продукт перестали поддерживать около четырёх лет назад, а у Aztec Labs больше нет средств управления системой. Контракт был неизменяемым, а административные полномочия команда отказалась оставлять за собой ещё несколько лет назад. Такая схема хорошо выглядит с точки зрения децентрализации, но в случае ошибки оставляет пользователей без быстрого механизма защиты.
Инцидент произошёл вскоре после другой атаки на Aztec Connect, старый мост проекта . 14 июня злоумышленник воспользовался ошибкой в том, как система проверки доказательств и код расчётов в сети обрабатывали одну и ту же пачку операций. Проверка работала с группами по 32 строки, а расчётный код учитывал только те строки, которые были объявлены настоящими. Такая разница позволила подготовить 14 специально собранных отправок и вывести около 909 ETH, 270 513 DAI, 168 wstETH и несколько токенов хранилищ Yearn. Ущерб составил примерно $2,19 млн.
На следующий день последовала ещё одна атака с тем же приёмом. На этот раз злоумышленник забрал около $88 000 из оставшихся позиций, связанных с мостами для децентрализованных финансов. Aztec Connect запустили в 2022 году, а в 2023 году вывели из эксплуатации. В апреле 2024 года Aztec Labs отказалась от всех административных ролей и прав обновлять контракт после года предупреждений с просьбой вывести средства.
Похожая проблема проявилась и в других проектах. 15 июня протокол Thetanuts Finance подтвердил атаку на старое хранилище, от которого команда отказалась несколько лет назад. Ущерб оценили в $2,1 млн. По данным специалиста ExVul, злоумышленник воспользовался ошибкой в том, как протокол выводит средства.
Серия инцидентов показывает опасную слабость децентрализованных сервисов: старые контракты могут годами хранить деньги, но уже не иметь команды, способной быстро закрыть уязвимость. Отказ от ключей управления не позволяет разработчикам вмешиваться вручную, однако как только ошибку обнаруживают – превращает контракт в неподвижную цель.
По данным DefiLlama, потери децентрализованных финансов от атак в июне уже превысили $43 млн к середине месяца. На фоне последних инцидентов устаревшие контракты становятся всё более заметной частью этой суммы, потому что злоумышленники ищут не только новые ошибки, но и забытые системы, где исправить найденную проблему уже некому.
Проект Aztec за несколько дней столкнулся сразу с двумя крупными атаками на устаревшие продукты, из которых злоумышленники вывели в общей сложности более $4 млн.
Новая атака затронула старый платёжный продукт Aztec, созданный в 2021 году. По данным специалиста Cos, из контракта частного моста были выведены 1158 ETH, 150 000 DAI и 0,47 renBTC. Общая сумма составила около $2,15 млн. Aztec Labs сообщила, что проверяет, не эксплуатировали ли уязвимость в устаревшем продукте, который вывели из эксплуатации ещё в 2022 году.
Фонд Aztec уточнил , что продукт перестали поддерживать около четырёх лет назад, а у Aztec Labs больше нет средств управления системой. Контракт был неизменяемым, а административные полномочия команда отказалась оставлять за собой ещё несколько лет назад. Такая схема хорошо выглядит с точки зрения децентрализации, но в случае ошибки оставляет пользователей без быстрого механизма защиты.
Инцидент произошёл вскоре после другой атаки на Aztec Connect, старый мост проекта . 14 июня злоумышленник воспользовался ошибкой в том, как система проверки доказательств и код расчётов в сети обрабатывали одну и ту же пачку операций. Проверка работала с группами по 32 строки, а расчётный код учитывал только те строки, которые были объявлены настоящими. Такая разница позволила подготовить 14 специально собранных отправок и вывести около 909 ETH, 270 513 DAI, 168 wstETH и несколько токенов хранилищ Yearn. Ущерб составил примерно $2,19 млн.
На следующий день последовала ещё одна атака с тем же приёмом. На этот раз злоумышленник забрал около $88 000 из оставшихся позиций, связанных с мостами для децентрализованных финансов. Aztec Connect запустили в 2022 году, а в 2023 году вывели из эксплуатации. В апреле 2024 года Aztec Labs отказалась от всех административных ролей и прав обновлять контракт после года предупреждений с просьбой вывести средства.
Похожая проблема проявилась и в других проектах. 15 июня протокол Thetanuts Finance подтвердил атаку на старое хранилище, от которого команда отказалась несколько лет назад. Ущерб оценили в $2,1 млн. По данным специалиста ExVul, злоумышленник воспользовался ошибкой в том, как протокол выводит средства.
Серия инцидентов показывает опасную слабость децентрализованных сервисов: старые контракты могут годами хранить деньги, но уже не иметь команды, способной быстро закрыть уязвимость. Отказ от ключей управления не позволяет разработчикам вмешиваться вручную, однако как только ошибку обнаруживают – превращает контракт в неподвижную цель.
По данным DefiLlama, потери децентрализованных финансов от атак в июне уже превысили $43 млн к середине месяца. На фоне последних инцидентов устаревшие контракты становятся всё более заметной частью этой суммы, потому что злоумышленники ищут не только новые ошибки, но и забытые системы, где исправить найденную проблему уже некому.
- Источник новости
- www.securitylab.ru
