14. kesäkuuta 2026 hylätyn ja täysin muuttumattoman Aztec Connect sopimuksen haavoittuvuus mahdollisti 2,1–2,19 miljoonan dollarin arvosta ETH:ta, DAI:ta, wstETH:ia ja muita tokeneita – kolme vuotta protokollan sulkem...

Create a landscape editorial hero image for this Studio Global article: What happened in the June 2025 exploit of the deprecated Aztec Connect protocol, including the attack method, the stolen assets and their va. Article summary: On **June 14, 2026**, an attacker exploited a **deprecated Aztec Connect smart contract** on Ethereum, draining approximately **$2.1–$2.19 million** in crypto assets. Aztec Labs had shut down Aztec Connect in March 2023 . Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "A deprecated zk-rollup bridge on Ethereum lost roughly 909 ETH, 270,000 DAI, and 167 wstETH after an attacker found a flaw in verification logic no one could patch. A smart contrac" source context "Aztec Connect's abandoned smart contract exploited for $2M three ..." Reference image 2: visual subject "# Aztec Con
Hylätty, käytöstä poistettu älysopimus Ethereum-verkossa on muodostunut hajautetun rahoituksen (DeFi) viimeisimmäksi varoittavaksi esimerkiksi. Kesäkuun 14. päivänä 2026 hyökkääjä onnistui tyhjentämään noin 2,1 miljoonan dollarin arvosta kryptovaroja Aztec Connectista, yksityisyyteen keskittyneestä ZK-rollup-sillasta, jonka Aztec Labs oli ajanut alas maaliskuussa 2023 . Kyseessä ei ollut elävän tuotteen haavoittuvuus, vaan puute hylätyssä sopimuksessa, josta oli tarkoituksella poistettu kaikki ylläpidollinen hallinta – tehden siitä ikuisesti jäädytetyn ja ikuisesti haavoittuvan.
Tietoturvayhtiö CertiK havaitsi ensimmäisenä epäilyttävää toimintaa RollupProcessorV3-sopimuksessa, joka on Aztec Connectin vanhentuneen rollupin keskeinen reititin. Hyökkääjän lompakoksi tunnistettiin 0x0f18d8b44a740272f0be4d08338d2b165b7edd17 . Kokonaistappion arvioi CertiK noin 2,19 miljoonaksi dollariksi, kun taas Aztec Labs mainitsi noin 2,1 miljoonan dollarin summan
. Varastettuihin omaisuuseriin kuului noin 909 ETH:ta, 270 000 DAI:ta, 167 wstETH:ia sekä Yearn-vault-tokeneita, kuten yvDAI:ta, yvWETH:ia ja yvLUSD:ia
.
Hyökkäys kohdistui nollatietotodistuksen (Zero-Knowledge) vahvistuslogiikan ja Ethereum-verkon selvityskäsittelyn väliseen rajapintaan. CertiKin mukaan yksi sopimuksen vahvistusfunktioista tarkisti ainoastaan toimitetun todisteen alun, mikä tarkoitti, että token-siirtojen valtuuttamiseen käytettyjä parametreja ei koskaan validoitu kokonaan . Tämä mahdollisti sen, että hyökkääjä pystyi toimittamaan todisteen, joka läpäisi alustavat tarkistukset, mutta sisälsi syvemmällä tietorakenteessa haitallisia nosto-ohjeita.
SlowMistin myöhempi analyysi tunnisti perimmäiseksi syyksi L1-selvityssilmukan läpikäyntirajoitukset RollupV3:ssa. Hyökkääjä käytti hyväkseen eroa numRealTxs- ja decoded_slots-arvojen välillä, mikä mahdollisti 31 tyhjän tapahtumapaikan lähettämisen L2-tilajuureen ZK-todisteen avulla ja täyden vahvistuksen kiertämisen L1-sopimustasolla . Hyökkääjä rakensi lopulta 14 ZK-rollup-todistusta; seitsemän viimeistä todistetta tyhjensi kukin eri omaisuuserän sopimuksesta omissa transaktioissaan
.
Tapauksesta ainutlaatuisen tekee se, että hyökkäys oli rakenteellisesti pysäyttämätön – suunnitellusti. Aztec Connect ajettiin alas maaliskuussa 2023, ja käyttäjille annettiin yli vuosi aikaa nostaa varansa . Vuonna 2024 Aztec Labs meni vielä pidemmälle ja luopui tarkoituksella kaikista ylläpitoavaimista ja järjestelmän hallinnasta. Sopimuksista tuli täysin muuttumattomia: ei päivitysmekanismia, ei omistajaa, eikä – kriittisesti – keskeytystoimintoa
.
”Aztec Connect ajettiin alas kolme vuotta sitten. Aztec Labsilla ei ole ylläpitoavaimia tai hallintaa järjestelmään; sitä ei voi keskeyttää eikä päivittää”, tiimi viesti X-palvelussa tunteja hyökkäyksen jälkeen vahvistaen, että noin 2,1 miljoonaa dollaria oli siirretty muuttumattomasta sopimuksesta . He korostivat, etteivät nykyinen Aztec Network ja sen AZTEC ERC-20 -token olleet vaarassa, mutta myönsivät, ettei kadonneiden varojen takaisin saamiseksi ollut mitään mekanismia
.
Pidennetystä nostoikkunasta ja alasajoon liittyvästä viestinnästä huolimatta noin 2,1 miljoonan dollarin arvosta käyttäjien jäännösvaroja oli jäänyt loukkuun vanhoihin sopimuksiin hyökkäyksen hetkellä . Varat olivat eräänlaisessa limbossa: kukaan ei voinut nostaa niitä laillisesti ilman vuorovaikutusta vanhentuneen rollupin kanssa, eikä kukaan voinut puuttua asiaan, kun haavoittuvuus laukesi.
Aztec Connectin tapaus on oppikirjaesimerkki hajautetun rahoituksen "zombie-sopimusten" ongelmasta. Muuttumattomat älysopimukset eivät yksinkertaisesti katoa, kun projekti suljetaan. Ne säilyvät lohkoketjussa logiikkoineen – ja arvoineen – usein pidättäen käyttäjien varoja loputtomiin. Kun ylläpitoavaimista luovutaan täydellisen hajautuksen tavoittelussa, sopimuksesta tulee pysyvä, korjauskelvoton hunajapurkki. Mikä tahansa löytämätön haavoittuvuus muuttuu aikapommiksi, joka voi laueta vuosia myöhemmin ilman minkäänlaista oikeussuojakeinoa .
Tämä riski on epäsymmetrinen. Hallinnasta luopuvat projektit ansaitsevat uskottavuutta, koska niillä ei ole takaovea, mutta käyttäjät, jotka eivät nosta varojaan alasajoikkunan aikana, kantavat täyden riskin. Aztecin tapaus osoittaa, että vielä kolmen vuoden jälkeen miljoonien dollareiden arvosta varoja voi olla loukussa sopimuksessa, jonka kaikki luulivat kuolleeksi.
Niille DeFi-tiimeille, jotka suunnittelevat protokollan alasajoa, opetus on karu. Ennen ylläpitoavaimista luopumista projektien on joko pakotettava kaikki nostot loppuun tai toteutettava aikasulkuun perustuva hätämekanismi, joka ei vaadi pitkäaikaista ylläpitäjän hallintaa. Ilman näitä suojakeinoja hylätty mutta muuttumaton infrastruktuuri houkuttelee väistämättä hyökkääjiä, jotka ovat valmiita etsimään vikoja, joita ei voi koskaan korjata .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
14. kesäkuuta 2026 hylätyn ja täysin muuttumattoman Aztec Connect sopimuksen haavoittuvuus mahdollisti 2,1–2,19 miljoonan dollarin arvosta ETH:ta, DAI:ta, wstETH:ia ja muita tokeneita – kolme vuotta protokollan sulkem...
14. kesäkuuta 2026 hylätyn ja täysin muuttumattoman Aztec Connect sopimuksen haavoittuvuus mahdollisti 2,1–2,19 miljoonan dollarin arvosta ETH:ta, DAI:ta, wstETH:ia ja muita tokeneita – kolme vuotta protokollan sulkem... Hyökkäys perustui ZK rollup todistuksen vahvistuslogiikan puutteeseen RollupProcessorV3 sopimuksessa; tietoturvayhtiöt CertiK ja SlowMist vahvistivat, että haavoittuvuus salli nostot ilman täydellistä todisteen tarkis...
Koska Aztec Labs luopui tarkoituksella kaikista ylläpito oikeuksista vuonna 2024, kukaan ei voinut pysäyttää tai peruuttaa hyökkäystä.
Loading comments...
Comments
0 comments