Aztec Connect废弃协议遭黑客窃取219万美金

核心提要：6月14日，一名黑客利用三年前停用的Aztec Connect隐私协议中的验证缺陷，成功盗取超219万美元。该漏洞源于合约证明与结算逻辑之间的数据读取不一致，导致攻击者可凭空生成无存款支撑的余额。尽管安全公司迅速响应，但因合约不可变且无管理员密钥，无法干预。

三年未用的隐私协议漏洞致超210万美元被盗

2024年6月14日，一个已停止运行三年的去中心化协议Aztec Connect被黑客利用其遗留的安全缺陷，造成超过219万美元资产流失。此次攻击暴露了废弃系统在长期存续下仍可能成为高价值目标的风险。

漏洞根源于合约验证机制的内在不一致

攻击者通过操纵交易证明验证流程，在结算阶段绕过实际资金存入校验，实现对不存在余额的非法提取。这一技术缺口存在于证明路径与结算逻辑之间对同一数据的不同处理方式，使得伪造的交易集得以通过系统审核。

多家安全机构同步发现异常并确认漏洞本质

CertiK在事件发生数小时内识别出以太坊上RollupProcessorV3合约的异常资金流动，定位为废弃桥梁核心组件。BlockSec随后跟进，最初误判为访问控制缺失，最终确认问题源自验证逻辑分歧。两方均指出，该漏洞并非新出现，而是长期埋藏于不可变更代码中的历史缺陷。

被盗资产涵盖多类主流代币，资金流向高度隐蔽

攻击者一次性针对七种资产发起攻击，包括909枚以太币（ETH）、约27万枚Dai（DAI）、167枚封装质押以太币及若干生息代币。链上追踪显示，资金经由混币服务注入新钱包，表明行动具有高度计划性与预谋性。

开发者强调无权干预，系统已彻底不可变

Aztec基金会确认事件属实后澄清，该协议自2023年3月起已正式停用，且其代码不再受任何管理权限控制。由于无管理员密钥存在，即便发现问题也无法暂停或升级合约。开发者Paramex指出，一旦关闭，代码即进入永久锁定状态，所有风险由原部署时承担。

“僵尸合约”威胁持续显现，行业亟需清理机制

本事件再次揭示去中心化生态中一个深层隐患：大量已弃用协议仍在链上持有真实资金，一旦暴露漏洞便无法修复。此类“僵尸合约”因其不可变特性，成为长期安全隐患。本月已有至少十余起类似攻击，总损失达4400万美元；其中4月单月损失逾6.25亿美元，创下纪录。