已弃用的 Aztec Connect 合约耗尽了 219 万美元的加密资产，凸显“僵尸合约”风险

MarsSignals 以太坊 1天前 1 阅读

根据区块链安全公司 SlowMist 的详细事后分析，来自已弃用的 Aztec Connect 协议的遗留智能合约已被利用，价值约为 219 万美元，这鲜明地提醒人们去中心化金融 (DeFi) 中挥之不去的危险。

该事件导致 Ether (ETH)、Dai (DAI) 和 Wrapped Staked ETH (wstETH) 丢失，凸显了加密生态系统中一个关键且经常被忽视的漏洞：区块链上仍然存在的不活跃或“僵尸”合约所带来的持续威胁。

报告指出，“这并不是一个在大量使用时会失败的全新协议”。 “这是来自已弃用系统的遗留合同，在面向用户的主要产品转移后仍然存在风险。”

SlowMist 的调查将攻击向量确定为连接到 Aztec Connect 的旧版 RollupProcessorV3 合约中的“边界间隙漏洞”。该缺陷与交易计数和合约解码器中的解码槽之间的关系有关。

简单来说，攻击者成功操纵了合约处理特定编码交易数据的方式，从而创建了非法消耗资产的途径。尽管该协议已被正式弃用，但不可变的智能合约仍然在链上，功能齐全，并且至关重要的是，开发人员无法暂停或升级。

Aztec Connect 事件体现了 DeFi 中日益严峻的安全挑战。 “区块链不会忘记，”慢雾强调。即使项目的积极开发停止并且用户迁移离开，其智能合约仍然保留在分类账上。如果这些合约仍然可调用并持有或有权访问资产，那么它们就构成了生态系统攻击面的永久部分。

这些所谓的僵尸合约特别危险，因为它们往往缺乏实时协议的主动监控、流动性支持和应急响应机制。它们的不可变性质也意味着开发人员在发现漏洞后修补漏洞的能力有限。

此漏洞适合更广泛的复杂 DeFi 攻击模式，这些攻击越来越多地针对合约逻辑、会计系统和被遗忘的基础设施中的边缘情况，而不是明显的前端诈骗。

对于开发人员来说，该案例强调了全面的协议弃用计划的必要性。其中应包括明确的用户迁移说明、流动性提取指南、对剩余合约的持续监控以及有关任何挥之不去的风险的透明沟通。

对于用户来说，这是一个严重警告：“留在已弃用合约中的资金可能会带来容易被忽视的风险。”将资产留在旧的、不活跃的 DeFi 系统中（即使是那些来自信誉良好的项目的资产），在社区的注意力转移很久之后，它们就会面临潜在的漏洞。

正如 SlowMist 的结论，“该漏洞可能与已弃用的合约有关，但教训是当前的：在加密货币中，不活跃的基础设施仍然可能存在活跃风险。”

来源：SlowMist Medium 事后分析。