Dne 14. června 2026 zneužil útočník chybu v opuštěném, zcela neměnném kontraktu Aztec Connect a odčerpal 2,1–2,19 milionu dolarů v ETH, DAI, wstETH a dalších tokenech – tři roky po odstavení protokolu a rok poté, co s...

Create a landscape editorial hero image for this Studio Global article: What happened in the June 2025 exploit of the deprecated Aztec Connect protocol, including the attack method, the stolen assets and their va. Article summary: On **June 14, 2026**, an attacker exploited a **deprecated Aztec Connect smart contract** on Ethereum, draining approximately **$2.1–$2.19 million** in crypto assets. Aztec Labs had shut down Aztec Connect in March 2023 . Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "A deprecated zk-rollup bridge on Ethereum lost roughly 909 ETH, 270,000 DAI, and 167 wstETH after an attacker found a flaw in verification logic no one could patch. A smart contrac" source context "Aztec Connect's abandoned smart contract exploited for $2M three ..." Reference image 2: visual subject "# Aztec Con
Spící, opuštěný smart kontrakt na Ethereu se stal nejnovějším varovným příběhem pro svět decentralizovaných financí (DeFi). Dne 14. června 2026 odčerpal útočník přibližně 2,1 milionu dolarů v kryptoměnách z Aztec Connect, ZK-rollup mostu zaměřeného na soukromí, který tým Aztec Labs vypnul již v březnu 2023 . Tento průlom nebyl výsledkem zranitelnosti živého produktu, nýbrž chybou v opuštěném kontraktu, který byl záměrně zbaven veškeré administrativní kontroly, čímž se stal navždy zmrazeným – a navždy zranitelným.
Bezpečnostní firma CertiK jako první upozornila na podezřelou aktivitu z kontraktu RollupProcessorV3, hlavního routeru pro opuštěný rollup Aztec Connect, přičemž útočníkova peněženka byla identifikována jako 0x0f18d8b44a740272f0be4d08338d2b165b7edd17 . Celková ztráta byla firmou CertiK odhadnuta na zhruba 2,19 milionu dolarů, zatímco Aztec Labs uváděli částku blíže k 2,1 milionu dolarů
. Mezi odcizená aktiva patřilo přibližně 909 ETH, 270 000 DAI, 167 wstETH a další tokeny Yearn vaultů jako yvDAI, yvWETH a yvLUSD
.
Útok cílil na rozhraní mezi logikou ověřování ZK (zero-knowledge) důkazů a zpracováním vypořádání na Ethereu (L1). Podle CertiKu jedna z ověřovacích funkcí kontraktu kontrolovala pouze začátek předloženého důkazu, což znamená, že parametry použité k autorizaci převodů tokenů nebyly nikdy plně ověřeny . To útočníkovi umožnilo předložit důkaz, který prošel počátečními kontrolami, ačkoli v hlubší části datového obsahu obsahoval škodlivé instrukce pro výběr.
Následná analýza firmy SlowMist identifikovala hlavní příčinu v limitech procházení L1 vypořádací smyčky uvnitř RollupV3. Útočník zneužil nesoulad mezi numRealTxs a decoded_slots, což umožnilo odeslání 31 prázdných slotů do stavového kořene L2 prostřednictvím ZK důkazu, a tím obešel plné ověření na vrstvě L1 kontraktu . Útočník nakonec zkonstruoval 14 ZK-rollup důkazů; posledních sedm důkazů každý odčerpalo jiné aktivum z kontraktu v samostatných transakcích
.
To, co dělá tento incident jedinečným, je fakt, že útok byl strukturálně nezastavitelný – záměrně. Aztec Connect byl ukončen v březnu 2023 a uživatelé dostali více než rok na výběr svých prostředků . V roce 2024 šel tým Aztec Labs ještě dál a záměrně se vzdal všech administrátorských klíčů a kontroly nad systémem. Kontrakty se staly zcela neměnnými: žádný mechanismus upgradu, žádný vlastník a hlavně žádná funkce pro pozastavení
.
„Aztec Connect byl ukončen před 3 lety. Aztec Labs nedrží žádné administrátorské klíče ani kontrolu nad systémem; nelze jej pozastavit ani upgradovat,“ uvedl tým na síti X několik hodin po zneužití a potvrdil, že z neměnného kontraktu zmizelo přibližně 2,1 milionu dolarů . Zdůraznili, že současná síť Aztec Network a její token AZTEC ERC-20 nebyly ovlivněny, ale uznali, že neexistuje žádný mechanismus pro obnovení ztracených prostředků
.
Navzdory prodlouženému oknu pro výběry a komunikaci ohledně ukončení zůstalo v době útoku uvnitř starých kontraktů uzamčeno přibližně 2,1 milionu dolarů ve zbytkových uživatelských aktivech . Prostředky existovaly v jakémsi vakuu: nikdo je nemohl legitimně získat zpět bez interakce s opuštěným rollupem a nikdo nemohl zasáhnout, když byla zranitelnost spuštěna.
Zneužití Aztec Connect je učebnicovou ukázkou problému „zombie kontraktů“ v decentralizovaných financích. Neměnné smart kontrakty jednoduše nezmizí, když je projekt ukončen. Přetrvávají na blockchainu s veškerou logikou – a hodnotou – kterou obsahují, a často v sobě drží uživatelská aktiva na neurčito. Když jsou administrátorské klíče zřeknuty ve snaze o plnou decentralizaci, stává se z kontraktu trvalá, neopravitelná past na medvědy. Jakákoli neobjevená zranitelnost se stává časovanou bombou, která může být odpálena o roky později bez jakékoli možnosti nápravy .
Toto riziko je asymetrické. Projekty, které se vzdají kontroly, získávají důvěryhodnost za absenci zadních vrátek, ale uživatelé, kteří si nestihnou vybrat prostředky během okna pro ukončení, nesou veškeré negativní důsledky. Případ Aztec ukazuje, že i po třech letech mohou v kontraktu, o kterém si všichni mysleli, že je mrtvý, zůstat uvězněny miliony dolarů.
Pro DeFi týmy, které plánují ukončit protokol, je z toho jasné ponaučení. Předtím, než se vzdají administrátorských klíčů, musí projekty buď vynutit dokončení všech výběrů, nebo implementovat nouzový mechanismus založený na časovém zámku, který nevyžaduje dlouhodobou administrátorskou kontrolu. Bez těchto pojistek bude opuštěná, ale neměnná infrastruktura nevyhnutelně přitahovat útočníky ochotné hledat chyby, které nelze nikdy opravit .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Dne 14. června 2026 zneužil útočník chybu v opuštěném, zcela neměnném kontraktu Aztec Connect a odčerpal 2,1–2,19 milionu dolarů v ETH, DAI, wstETH a dalších tokenech – tři roky po odstavení protokolu a rok poté, co s...
Dne 14. června 2026 zneužil útočník chybu v opuštěném, zcela neměnném kontraktu Aztec Connect a odčerpal 2,1–2,19 milionu dolarů v ETH, DAI, wstETH a dalších tokenech – tři roky po odstavení protokolu a rok poté, co s... Útok zneužil nesoulad v logice ověřování ZK rollup důkazů v kontraktu RollupProcessorV3; bezpečnostní firmy CertiK a SlowMist potvrdily, že chyba umožnila výběry bez úplného ověření důkazů.
Protože Aztec Labs v roce 2024 záměrně odstranili všechny administrátorské klíče, nikdo nemohl útok pozastavit, opravit ani zvrátit, čímž se z opuštěného kontraktu stala ukázková 'zombie' past, která bude navždy hrozb...
Loading comments...
Comments
0 comments