Sinabi ng Aztec Labs na iniimbestigahan nila ang isang potensyal na 'exploit' na nakaaapekto sa isang deprecated na produkto ng pagbabayad ng Aztec mula 2021.
Sa isang post ng Aztec Labs, sinabi ng pangkat na humigit-kumulang $2 milyon ang nailipat mula sa isang immutable smart contract sa isang transaksyon sa Etherscan noong Hunyo 17.
Sinabi ng kumpanya na ang apektadong produkto ay isang “immutable stage 2 rollup” na ipinagpatigil noong 2022. Idinagdag din nito na ang Aztec Labs ay walang hawak na admin keys o kontrol sa sistema, na nangangahulugang hindi nito maaaring ipahinto o i-upgrade ang lumang kontrata.
Sinabi ng Aztec Foundation na nalaman nila ang posibleng exploit noong Hunyo 17. Sa isang post ng Foundation, sinabi nito na “walang koneksyon” ang deprecated na produkto at anumang smart contracts na nakaugnay sa kasalukuyang network o sa AZTEC ERC20 token.
Sinabi rin ng foundation na ang produkto ay na-deprecated apat na taon na ang nakalipas at hindi na kontrolado ng Aztec Labs ang sistema. Nagdirekta ito sa mga gumagamit sa Aztec Labs para sa mga update habang sinusuri ng pangkat ang transaksyon at ang apektadong kontrata.
Sinabi ng Aztec Labs na ang pinakabagong kaso ay hiwalay sa exploit noong Hunyo 14 na kinasasangkutan ng Aztec Connect, isa pang deprecated na produkto. Gaya ng dating iniulat ng crypto.news, nawalan ng $2.1 milyon ang Aztec Connect matapos ma-exploit ang isang lumang immutable smart contract.
Ayon sa isang naunang ulat ng crypto.news, ang pag-atake sa Aztec Connect ay kinasasangkutan ng isang verification mismatch na nagpahintulot sa mga unbacked balances na makagalaw sa mga Ethereum settlement records. Kalaunan ay sinubaybayan ng mga kumpanya ng seguridad ang isyu sa isang lumang RollupProcessorV3 contract.
Muling itinuturo ng bagong kaso ang isang problema na kinakaharap ng mga hindi na ginagamit na produkto ng DeFi. Kahit na pagkatapos isara ang isang produkto, ang mga kontrata nito ay maaaring manatiling buhay sa Ethereum. Kung mananatili ang mga pondo sa loob ng mga immutable contracts, maaaring maghanap pa rin ang mga umaatake ng mga paraan upang ilipat ang mga ito.
Lumilikha iyan ng isang mahirap na problema sa pagtugon. Ang isang aktibong pangkat ay maaaring makapagbabala sa mga gumagamit at makasubaybay ng mga pondo, ngunit maaaring hindi nito mapigilan ang isang lumang kontrata na walang admin controls. Sinabi ng Aztec Labs na magbabahagi sila ng karagdagang mga update “sa takdang panahon.”
Sa ngayon, ang Aztec Labs at ang Aztec Foundation ay naglalagay ng malinaw na linya sa pagitan ng lumang produkto ng pagbabayad at ng kasalukuyang network. Ang pangunahing pahayag mula sa parehong grupo ay ang insidente ay tungkol sa isang deprecated na sistema, hindi ang aktibong Aztec network o ang AZTEC token.
