14 czerwca 2026 atakujący wykorzystał lukę w porzuconym, niezmienialnym kontrakcie Aztec Connect, kradnąc od 2,1 do 2,19 mln dolarów w ETH, DAI, wstETH i innych tokenach – trzy lata po zamknięciu protokołu i rok po ce... Eksploit wykorzystał niedopasowanie w logice weryfikacji dowodów ZK rollup (RollupProcessorV3);...

Create a landscape editorial hero image for this Studio Global article: What happened in the June 2025 exploit of the deprecated Aztec Connect protocol, including the attack method, the stolen assets and their va. Article summary: On **June 14, 2026**, an attacker exploited a **deprecated Aztec Connect smart contract** on Ethereum, draining approximately **$2.1–$2.19 million** in crypto assets. Aztec Labs had shut down Aztec Connect in March 2023 . Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "A deprecated zk-rollup bridge on Ethereum lost roughly 909 ETH, 270,000 DAI, and 167 wstETH after an attacker found a flaw in verification logic no one could patch. A smart contrac" source context "Aztec Connect's abandoned smart contract exploited for $2M three ..." Reference image 2: visual subject "# Aztec Con
Uśpiony, porzucony smart kontrakt na Ethereum stał się właśnie najnowszą przestrogą dla świata zdecentralizowanych finansów. 14 czerwca 2026 roku nieznany atakujący skutecznie opróżnił z aktywów kryptograficznych Aztec Connect – oparty na ZK-rollupach most zapewniający prywatność, który zespół Aztec Labs wyłączył w marcu 2023 roku . Włamanie nie było wynikiem błędu w działającym produkcie, lecz wykorzystaniem luki w opuszczonym kontrakcie, celowo pozbawionym wszelkiej kontroli administracyjnej, a przez to na zawsze zamrożonym – i na zawsze podatnym na ataki.
Firma ochroniarska CertiK jako pierwsza zgłosiła podejrzaną aktywność z kontraktu RollupProcessorV3, głównego routera wycofanego Aztec Connect. Portfel atakującego został zidentyfikowany jako 0x0f18d8b44a740272f0be4d08338d2b165b7edd17 . Całkowitą stratę CertiK oszacował na ok. 2,19 mln USD, natomiast Aztec Labs podaje kwotę bliższą 2,1 mln USD
. Wśród skradzionych aktywów znalazło się około 909 ETH, 270 000 DAI, 167 wstETH oraz dodatkowe tokeny Yearn vault, takie jak yvDAI, yvWETH i yvLUSD
.
Atak wymierzony był w newralgiczne miejsce styku logiki układów zero-knowledge z procesowaniem transakcji na głównej warstwie Ethereum (tzw. L1). Jak podaje CertiK, jedna z funkcji weryfikacyjnych kontraktu sprawdzała jedynie początek dostarczonego dowodu kryptograficznego, co oznaczało, że parametry autoryzujące transfer tokenów nigdy nie przechodziły pełnej kontroli . Atakujący mógł przedstawić dowód, który przechodził wstępne testy, podczas gdy głębiej w strukturze danych zawierał szkodliwe instrukcje wypłaty.
Szczegółowa analiza SlowMist wskazuje na źródło problemu: błąd w ograniczeniach pętli rozliczeniowej L1 w kontrakcie RollupV3. Haker wykorzystał rozbieżność między parametrami numRealTxs i decoded_slots, co pozwoliło na przesłanie 31 pustych slotów do korzenia stanu L2 poprzez dowód ZK, skutecznie omijając weryfikację na poziomie kontraktu L1 . Ostatecznie skonstruował 14 dowodów ZK-rollup; ostatnie siedem z nich, w oddzielnych transakcjach, opróżniało kontrakt kolejno z każdego z siedmiu różnych aktywów
.
To, co wyróżnia ten incydent, to fakt, że atak był strukturalnie nie do powstrzymania – i to z założenia. Protokół Aztec Connect został wycofany w marcu 2023, a użytkownicy mieli ponad rok na wycofanie swoich funduszy . W 2024 roku Aztec Labs poszło o krok dalej, celowo zrzekając się wszystkich kluczy administracyjnych i kontroli nad systemem. Kontrakty stały się całkowicie niezmienialne: bez mechanizmu aktualizacji, bez właściciela i, co kluczowe, bez funkcji pauzy (zatrzymania)
.
„Aztec Connect został wycofany 3 lata temu. Aztec Labs nie posiada żadnych kluczy administracyjnych ani kontroli nad systemem; nie można go wstrzymać ani zaktualizować” – poinformował zespół na platformie X kilka godzin po ataku, potwierdzając, że z niezmienialnego kontraktu wyprowadzono ok. 2,1 miliona dolarów . Podkreślono, że obecna sieć Aztec Network i token AZTEC ERC-20 nie zostały dotknięte, ale jednocześnie przyznano, że nie istnieje żaden mechanizm odzyskania utraconych środków
.
Mimo przedłużonego okna na wypłatę i komunikacji wokół zamknięcia protokołu, w momencie ataku w starych kontraktach wciąż tkwiło ok. 2,1 miliona dolarów w aktywach pozostałych po użytkownikach, którzy nie zdążyli lub nie wiedzieli o konieczności ich wycofania . Fundusze te istniały w czymś na kształt cyfrowego stanu zawieszenia: nikt nie mógł ich legalnie wypłacić bez interakcji z wycofanym rollupem i nikt nie mógł interweniować, gdy luka została wykorzystana.
Eksploit Aztec Connect to podręcznikowa ilustracja problemu „kontraktów zombie” w świecie zdecentralizowanych finansów. Niezmienialne smart kontrakty nie znikają po prostu, gdy projekt zostaje zamknięty. Trwają one w łańcuchu bloków wraz z całą swoją logiką – i przechowywanymi wartościami – często zatrzymując aktywa użytkowników na czas nieokreślony. Gdy klucze administracyjne są usuwane w imię pełnej decentralizacji, kontrakt staje się trwałą, niemożliwą do załatania pułapką, w której każda nieodkryta luka przeistacza się w bombę zegarową mogącą wybuchnąć po latach, bez żadnej możliwości reakcji .
To ryzyko jest asymetryczne. Projekty zrzekające się kontroli zyskują wiarygodność, bo nikt nie ma „tylnych drzwi”, ale to użytkownicy, którzy nie wypłacą środków w okresie przejściowym, ponoszą pełne konsekwencje. Przypadek Aztec pokazuje, że nawet po trzech latach miliony dolarów mogą pozostawać uwięzione w kontrakcie, który wszyscy uważali za martwy.
Dla zespołów DeFi planujących deprecjację protokołu płynie z tego jasna lekcja. Przed usunięciem kluczy administracyjnych projekty muszą albo wymusić całkowite wypłaty środków, albo wdrożyć awaryjny mechanizm oparty na opóźnieniu czasowym (timelock), który nie wymaga stałej kontroli administracyjnej. Bez tych zabezpieczeń porzucona, ale niezmienialna infrastruktura będzie nieuchronnie przyciągać atakujących, gotowych szukać luk, których nie da się już naprawić .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
14 czerwca 2026 atakujący wykorzystał lukę w porzuconym, niezmienialnym kontrakcie Aztec Connect, kradnąc od 2,1 do 2,19 mln dolarów w ETH, DAI, wstETH i innych tokenach – trzy lata po zamknięciu protokołu i rok po ce...
14 czerwca 2026 atakujący wykorzystał lukę w porzuconym, niezmienialnym kontrakcie Aztec Connect, kradnąc od 2,1 do 2,19 mln dolarów w ETH, DAI, wstETH i innych tokenach – trzy lata po zamknięciu protokołu i rok po ce... Eksploit wykorzystał niedopasowanie w logice weryfikacji dowodów ZK rollup (RollupProcessorV3); firmy CertiK i SlowMist potwierdziły, że luka umożliwiała wypłaty bez pełnej walidacji złożonych dowodów kryptograficznych.
Ponieważ zespół Aztec Labs nie miał już żadnej kontroli, ataku nie można było wstrzymać, naprawić ani cofnąć, zamieniając porzucony kontrakt w podręcznikowy przykład „miodu na muchy” (honeypot) dla hakerów, który już...
Loading comments...
Comments
0 comments