14. juni 2026 utnyttet en angriper et fullstendig uforanderlig Aztec Connect kontrakt og stjal 2,1–2,19 millioner dollar i ETH, DAI, wstETH og andre tokens – tre år etter at protokollen ble lagt ned og ett år etter at...

Create a landscape editorial hero image for this Studio Global article: What happened in the June 2025 exploit of the deprecated Aztec Connect protocol, including the attack method, the stolen assets and their va. Article summary: On **June 14, 2026**, an attacker exploited a **deprecated Aztec Connect smart contract** on Ethereum, draining approximately **$2.1–$2.19 million** in crypto assets. Aztec Labs had shut down Aztec Connect in March 2023 . Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "A deprecated zk-rollup bridge on Ethereum lost roughly 909 ETH, 270,000 DAI, and 167 wstETH after an attacker found a flaw in verification logic no one could patch. A smart contrac" source context "Aztec Connect's abandoned smart contract exploited for $2M three ..." Reference image 2: visual subject "# Aztec Con
En sovende, nedlagt smartkontrakt på Ethereum har blitt den siste vekkeren for desentralisert finans (DeFi). Den 14. juni 2026 tømte en angriper kryptoverdier for omtrent 2,1 millioner dollar fra Aztec Connect, en personvernfokusert ZK-rollup-bro som Aztec Labs stengte ned i mars 2023 . Sikkerhetsbruddet skyldtes ikke en svakhet i et aktivt produkt, men en feil i en forlatt kontrakt som var bevisst fratatt all administrativ kontroll. Dette gjorde den frosset for alltid – og for alltid sårbar.
Sikkerhetsselskapet CertiK flagget først mistenkelig aktivitet fra RollupProcessorV3-kontrakten, hovedruteren for Aztec Connects nedlagte rollup. Angriperens lommebok ble identifisert som 0x0f18d8b44a740272f0be4d08338d2b165b7edd17 . Det totale tapet ble anslått til rundt 2,19 millioner dollar av CertiK, mens Aztec Labs oppga et tall nærmere 2,1 millioner dollar
. De stjålne midlene inkluderte omtrent 909 ETH, 270 000 DAI, 167 wstETH, samt ytterligere Yearn Vault-tokens som yvDAI, yvWETH og yvLUSD
.
Angrepet utnyttet overgangen mellom logikken for verifisering av nullkunnskapsbevis (zero-knowledge proofs) og selve transaksjonsbehandlingen på Ethereums hovednett (Layer 1). Ifølge CertiK sjekket en av kontraktens verifiseringsfunksjoner bare begynnelsen av et innsendt bevis. Dermed ble parametrene som ble brukt til å autorisere token-overføringer, aldri fullstendig validert . Dette tillot angriperen å sende inn et bevis som bestod de innledende sjekkene, samtidig som det inneholdt ondsinnede uttaksinstruksjoner dypere i datamengden.
SlowMists etterfølgende analyse identifiserte en grunnleggende årsak i gjennomløpsbegrensningene til oppgjørssløyfen på L1 (Layer 1 settlement loop) i RollupV3. Angriperen utnyttet et avvik mellom numRealTxs og decoded_slots, noe som muliggjorde innsending av 31 tomme blokker til L2-tilstandsroten via et ZK-bevis, samtidig som full verifisering på L1-kontraktslaget ble omgått . Angriperen konstruerte til slutt 14 ZK-rollup-bevis; de siste syv bevisene stjal hver sin type token fra kontrakten i separate transaksjoner
.
Det som gjør denne hendelsen unik, er at angrepet var strukturelt umulig å stoppe – etter hensikten. Aztec Connect ble faset ut i mars 2023, og brukerne fikk over et år på seg til å ta ut midlene sine . I 2024 gikk Aztec Labs enda lenger ved å bevisst oppgi alle admin-nøkler og all kontroll over systemet. Kontraktene ble fullstendig uforanderlige: ingen oppgraderingsmekanisme, ingen eier, og kritisk nok, ingen pause-funksjon
.
«Aztec Connect ble avviklet for 3 år siden. Aztec Labs har ingen admin-nøkler eller kontroll over systemet; det kan ikke pauses eller oppgraderes,» uttalte teamet på X bare timer etter angrepet, og bekreftet at rundt 2,1 millioner dollar hadde blitt flyttet fra den uforanderlige kontrakten . De understreket at dagens Aztec Network og AZTEC ERC-20-token ikke var berørt, men innrømmet at det ikke fantes noen mekanisme for å hente tilbake de tapte midlene
.
Til tross for den utvidede uttaksperioden og informasjonen rundt nedstengningen, forble omtrent 2,1 millioner dollar i resterende brukermidler fanget i de gamle kontraktene da angrepet skjedde . Midlene eksisterte i et slags limbo: ingen kunne hente dem ut på lovlig vis uten å samhandle med den nedlagte rollupen, og ingen kunne gripe inn da sikkerhetshullet ble utnyttet.
Aztec Connect-angrepet er et skoleeksempel på «zombie-kontrakt»-problemet i desentralisert finans. Uforanderlige smartkontrakter forsvinner ikke bare når et prosjekt legges ned. De forblir i blokkjeden med den logikken – og verdien – de inneholder, og oppbevarer ofte brukermidler på ubestemt tid. Når admin-nøkler oppgis i jakten på full desentralisering, blir kontrakten en permanent, umulig å reparere, honningkrukke. Ethvert uoppdaget sikkerhetshull blir en tikkende bombe som kan utløses flere år senere, uten noen som helst mulighet til å gripe inn .
Denne risikoen er asymmetrisk. Prosjekter som sier fra seg kontroll oppnår troverdighet for å ikke ha noen bakdør, men brukere som unnlater å ta ut midler i avviklingsvinduet, bærer hele tapet. Aztec-saken viser at selv etter tre år kan millioner av dollar forbli fanget i en kontrakt alle trodde var død.
For DeFi-team som planlegger å avvikle en protokoll, er lærdommen grell. Før man gir fra seg admin-nøkler, må prosjekter enten tvinge gjennom alle uttak eller implementere en tidslåsbasert nødmekanisme som ikke krever langsiktig admin-kontroll. Uten slike sikkerhetstiltak vil forlatt, men uforanderlig infrastruktur uunngåelig tiltrekke seg angripere som er villige til å lete etter feil som aldri kan fikses .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
14. juni 2026 utnyttet en angriper et fullstendig uforanderlig Aztec Connect kontrakt og stjal 2,1–2,19 millioner dollar i ETH, DAI, wstETH og andre tokens – tre år etter at protokollen ble lagt ned og ett år etter at...
14. juni 2026 utnyttet en angriper et fullstendig uforanderlig Aztec Connect kontrakt og stjal 2,1–2,19 millioner dollar i ETH, DAI, wstETH og andre tokens – tre år etter at protokollen ble lagt ned og ett år etter at... Angrepet skyldtes en svakhet i verifiseringen av ZK rollup bevis i RollupProcessorV3 kontrakten.
Fordi Aztec Labs med vilje fjernet alle admin nøkler i 2024, var det umulig å stanse, oppgradere eller reversere angrepet.
Loading comments...
Comments
0 comments