Заброшенный смарт-контракт Aztec Connect взломан на $2,1 млн

15 июня 2026 года произошёл взлом заброшенного смарт-контракта платформы Aztec Connect. Как сообщает Aztec Labs, из контракта было выведено около $2,1 млн в криптоактивах. Атака не затронула пользователей или средства в действующей сети Aztec Network.

Эксплойт стал возможен из-за несоответствия в механизме верификации транзакций. Специалисты блокчейн-безопасности BlockSec установили, что проверенные транзакции на контракте Aztec Connect не были привязаны к набору транзакций, защищённых ZK-доказательством. Это позволило атакующему манипулировать логикой расчётов на Ethereum, создавая неподтверждённые балансы.

Злоумышленник провёл семь операций с семью различными активами. В результате было похищено 909 Ether (ETH), 270 000 DAI, 167 wrapped staked ETH и другие токены. Украденные средства были выведены через серию транзакций, воспользовавшихся уязвимостью контракта.

Aztec Connect был деактивирован в марте 2023 года — приостановлены депозиты, а команда сосредоточилась на разработке сети нового поколения Aztec Network. После деактивации смарт-контракты стали полностью неизменяемыми, что лишило разработчиков возможности обновлять или останавливать их.

«Aztec Labs не имеет административных ключей или контроля над системой; мы не можем приостановить или обновить её», — заявили представители компании. Разработчик Param отметил, что контракты стали полностью неизменяемыми, и инцидент стал напоминанием о том, что заброшенные DeFi-контракты могут оставаться целями спустя годы.

Этот взлом стал частью серии атак в июне 2026 года. По данным DeFiLlama, за месяц было украдено более $44 млн в результате не менее 12 эксплойтов. Крупнейший из них — взлом Humanity Protocol на $30 млн, а также атака на Syscoin Bridge с ущербом $8 млн.