Казалось бы, что может быть безопаснее старого, давно неиспользуемого смарт-контракта? Он просто висит в блокчейне, как цифровая реликвия, никому не мешая. Но реальность, как выяснилось, куда опаснее. Хакер доказал, что даже «музейный экспонат» в мире криптовалют может стать источником лёгкой наживы, выведя из устаревшего контракта приватного протокола Aztec баснословные $2,1 миллиона.
Интересно, что сам протокол Aztec Connect официально «похоронили» ещё в 2023 году. Команда перестала его поддерживать, переключившись на новые разработки. Но, как в старом заброшенном сейфе, в его неизменяемом коде остались немалые средства. И вот нашёлся тот, кто подобрал ключ.
Как взломали то, что уже не работало
Всё началось с подозрительной транзакции, которую первыми засекли аналитики BlockSec. Их система Phalcon забила тревогу. Взломщик атаковал контракт RollupProcessorV3, используя старую, но критичную уязвимость.
А вот в чём был корень проблемы. Эксперты считают, что дело в расхождении между проверкой транзакции и её фактическим исполнением в сети Ethereum. Грубо говоря, логика контракта где-то «зависла» и позволила зачислить стоимость, не проверив её легитимность в основном блокчейне (L1). Это как если бы кассир выдал деньги по фальшивой, но красиво оформленной расписке, не сверив её с базой.
Злоумышленник мастерски этим воспользовался. Он создал из воздуха, точнее из кода, необеспеченные балансы по семи разным активам, а затем просто вывел их. Счётчик убытков пополз вверх: 909 ETH, 270 тысяч стейблкоинов DAI, 167 токенизированных wstETH — и это лишь часть добычи.
Почему команда не могла ничего сделать
Самое парадоксальное в этой истории — полное бессилие создателей. Разработчики из Aztec Labs сразу заявили: у них нет административных ключей и никакого контроля над системой. Они физически не могли остановить контракт или выпустить заплатку.
В этом и заключается философия настоящей децентрализации. Ты создаёшь инструмент, выпускаешь его в мир, а потом он живёт своей жизнью. Это одновременно и сила, и ахиллесова пята. Система Aztec Connect была запущена в 2022 году как мост для приватных DeFi-операций, а через год её заморозили. Но «неизменяемый» код, оставшийся в блокчейне, стал миной замедленного действия.
Команда, впрочем, поспешила успокоить пользователей. Действующая сеть Aztec Network и средства на основных кошельках не пострадали. Взлом затронул лишь этот цифровой «пенсионер», давно отправленный на покой.
Что это значит для России
Эта история — громкий предупредительный сигнал и для российского цифрового пространства. Пока мы обсуждаем внедрение цифрового рубля и создаём собственные правила для крипторынка, вопросы долгосрочной безопасности смарт-контрактов выходят на первый план.
Представьте, что через несколько лет после запуска какого-нибудь сервиса на базе цифрового рубля обнаружится подобная уязвимость. Кто будет отвечать? Как оператор платформы сможет вмешаться, если изначально заложил принципы неизменности? Российский регулятор, с его стремлением к контролю, наверняка будет настаивать на механизмах «аварийного тормоза» или админ-ключах даже в самых децентрализованных системах. И этот инцидент лишь добавит ему аргументов.
Кроме того, история с Aztec — это урок для российских крипторазработчиков и инвесторов. «Забытые» средства в устаревших протоколах — не абстракция, а реальный риск. В погоне за новыми трендами (вроде того же Ignition Chain от Aztec) важно не оставлять за собой цифровой мусор, который может взорваться в самый неожиданный момент.
Прогноз редакции
Мы уверены, что подобные атаки на «спящие» контракты участится. Хакеры уже поняли, что старый, но не удалённый код — это золотая жила, которую часто плохо охраняют. В ближайшие год-два мы увидим волну взломов проектов, которые были популярны в 2021-2023 годах, но потом их забросили. Единственный способ защиты — массовый и организованный переход средств с устаревших протоколов, что в условиях децентрализованного хаоса почти нереально.
