Saldırı, sıfır bilgi kanıtı doğrulama mantığı ile Ethereum'un Katman 1'deki (Layer 1) mutabakat işleme sistemi arasındaki sınır bölgesini hedef aldı. CertiK'e göre, kontratın doğrulama fonksiyonlarından biri, gönderilen bir kanıtın yalnızca başlangıcını kontrol ediyordu. Bu, token transferlerini yetkilendirmek için kullanılan parametrelerin hiçbir zaman tam olarak doğrulanmadığı anlamına geliyordu . Saldırgan, ilk kontrolleri geçen ancak veri yükünün daha derinlerinde kötü niyetli çekim talimatları içeren bir kanıt sunabildi.
SlowMist'in sonraki analizi, temel nedeni RollupV3 içindeki L1 mutabakat döngüsünün geçiş limitlerindeki bir zafiyet olarak tanımladı. Saldırgan, numRealTxs ve decoded_slots arasındaki tutarsızlıktan yararlanarak, ZK kanıtı aracılığıyla L2 durum köküne 31 boş slot göndermeyi ve L1 kontrat katmanındaki tam doğrulamayı atlatmayı başardı . Saldırgan nihayetinde 14 adet ZK-rollup kanıtı oluşturdu; son yedi kanıtın her biri, ayrı işlemlerle kontrattan farklı bir varlığı boşalttı
.
Bu olayı benzersiz kılan şey, saldırının yapısal olarak durdurulamaz olmasıydı—bu, tasarım gereği böyleydi. Aztec Connect Mart 2023'te kullanımdan kaldırılmış ve kullanıcılara fonlarını çekmeleri için bir yıldan fazla süre tanınmıştı . 2024'te Aztec Labs daha da ileri giderek sistem üzerindeki tüm yönetici anahtarlarını ve kontrolü kasten teslim etti. Kontratlar tamamen değiştirilemez (immutable) hale geldi: yükseltme mekanizması yok, sahibi yok ve en kritiği, duraklatma fonksiyonu yok
.
Ekip, saldırıdan saatler sonra X üzerinden yaptığı açıklamada, "Aztec Connect 3 yıl önce kullanımdan kaldırıldı. Aztec Labs'in sistem üzerinde herhangi bir yönetici anahtarı veya kontrolü bulunmamaktadır; sistem duraklatılamaz veya yükseltilemez," diyerek değiştirilemez kontrattan yaklaşık 2,1 milyon doların çıktığını doğruladı . Mevcut Aztec Ağı ve AZTEC ERC-20 token'ının bu olaydan etkilenmediğini vurguladılar, ancak kaybolan fonları kurtarmak için hiçbir mekanizma olmadığını kabul ettiler
.
Kapatma ve uzatılan çekim penceresine rağmen, saldırı anında eski kontratların içinde yaklaşık 2,1 milyon dolar değerinde atıl kullanıcı varlığı kilitli kalmıştı . Fonlar bir tür arafta bulunuyordu: kullanılmayan rollup ile etkileşime girmeden kimse bunları meşru yollarla alamazdı ve zafiyet tetiklendiğinde kimse müdahale edemedi.
Aztec Connect saldırısı, merkeziyetsiz finanstaki "zombi kontrat" problemine dair ders kitabı niteliğinde bir örnektir. Değiştirilemez akıllı kontratlar, bir proje kapandığında öylece yok olmazlar. İçerdikleri mantık ve değerle birlikte zincir üzerinde varlıklarını sürdürürler ve genellikle kullanıcı varlıklarını süresiz olarak tutarlar. Tam merkeziyetsizlik arayışıyla yönetici anahtarlarından vazgeçildiğinde, kontrat kalıcı, yamalanamaz bir bal küpüne dönüşür. Keşfedilmemiş herhangi bir zafiyet, yıllar sonra sıfır başvuru yolu ile patlatılabilecek bir saatli bombaya dönüşür .
Bu risk asimetriktir. Kontrolden vazgeçen projeler, arka kapıları olmadığı için güvenilirlik kazanır, ancak kullanımdan kaldırma pencereleri sırasında fonlarını çekmeyen kullanıcılar tüm olumsuz sonuçlara katlanır. Aztec vakası, herkesin öldüğünü varsaydığı bir kontratta üç yıl sonra bile milyonlarca doların sıkışıp kalabileceğini gösteriyor.
Bir protokolü kullanımdan kaldırmayı planlayan DeFi ekipleri için çıkarılacak ders çok açık: Yönetici anahtarlarından vazgeçmeden önce, projeler ya tüm para çekme işlemlerini zorla tamamlamalı ya da uzun vadeli yönetici kontrolü gerektirmeyen zaman kilidine dayalı bir acil durum mekanizması uygulamalıdır. Bu güvenlik önlemleri olmadan, terk edilmiş ancak değiştirilemez altyapı, kaçınılmaz olarak, asla düzeltilemeyecek kusurları aramaya istekli saldırganları çekecektir .
Comments
0 comments