Заброшенный смарт-контракт Aztec Connect, который ранее обеспечивал приватность транзакций в экосистеме DeFi, стал жертвой дерзкой атаки. Неизвестный эксплойт позволил хакеру вывести из недр Ethereum-сети активы на общую сумму порядка $2,1 млн. По данным форензик-лаборатории CertiK, в трофеях киберпреступника оказались 909 ETH, 270 000 стейблкоинов DAI, 167 ликвидных стейкинг-деривативов wstETH и россыпь других альткоинов.
Парадокс ситуации заключается в том, что уязвимый контракт был фактически «заморожен» во времени. Мост Aztec Connect, базировавшийся на ZK-rollup технологиях, был официально выведен из эксплуатации еще в марте 2023 года на фоне перехода Aztec Labs к архитектуре новой сети. После закрытия депозитов контракт стал криптографически неизменяемым: у разработчиков не осталось ни административных ключей, ни функции «паузы», ни возможности отозвать средства. Именно этот «цифровой некрополь» с оставшимися внутри активами и привлек внимание взломщиков, поскольку в старой системе отсутствовал оператор, способный экстренно остановить атаку.
Эксперты из BlockSec раскрыли механику эксплойта. Мишенью стал контракт RollupProcessorV3 . Фатальный баг крылся в архитектурном диссонансе: система верификации транзакций и механизм их фактического исполнения в сети Ethereum интерпретировали данные по-разному. Воспользовавшись этим логическим разрывом, хакер научился генерировать фантомные, ничем не обеспеченные балансы и легитимизировать их вывод.