Aztec Legacy漏洞攻擊揭示已棄用加密合約的長尾風險
舊智能合約在協議更新後,仍可能長期存在危險。
SlowMist 對 Aztec Connect 遭竊 219 萬美元事件的分析,再次將這一問題帶回公眾視野。受影響的合約屬於一個已棄用的舊系統,而非現行的 Aztec 網絡,但此事件仍是對 DeFi 用戶和開發者的重要警示。
TL;DR
- SlowMist 分析了一起針對 Aztec Connect 已棄用舊基礎設施的 219 萬美元漏洞利用事件。
- 主要分析報告未指出現行 Aztec 網絡遭到入侵。
- 此事件凸顯了產品下線後仍殘留鏈上的不可變合約所帶來的風險。
- 對用戶而言,教訓很簡單:舊協議介面和廢棄合約仍可能帶來實際的財務風險。
棄用並不代表無害
在傳統軟件中,已停用的產品通常可以打補丁、關閉,或徹底從用戶觸及範圍內移除。但鏈上系統不同。如果一個智能合約是不可變的,且仍持有資產或權限,它可能持續作為一個活躍的攻擊面而存在。
這正是 SlowMist 分析的 Aztec Connect 漏洞所帶來的令人不安的教訓。該合約屬於一個已棄用的舊系統,但攻擊者仍能將其作為目標。圍繞此事件的報告也指出了其他舊合約方面的隱憂,但最可靠的主要來源支持的是這起 219 萬美元的 Aztec Connect 案例。
這一區別至關重要。這並非一個關於現行 Aztec 網絡遭到入侵的故事,而是關於舊智能合約長尾風險的故事——用戶可能僅因一個產品不再被推廣,便以為風險已消失。
不可變性的取捨
加密貨幣行業通常將不可變性視為一項特性,在許多方面確實如此。用戶不希望協議運營者在市場條件不利時隨意改寫規則。但不可變性有其另一面:如果一個存在缺陷或已暴露的合約無法暫停或升級,開發者在出現問題時可能幾乎沒有介入的空間。
Aztec 的舊系統問題正契合這一更廣泛的取捨。即使團隊已遷移至更新的系統,已棄用的基礎設施仍可能殘留在鏈上。如果用戶將資金留在原處或繼續與舊合約互動,協議當前的開發路線圖可能無法保護他們。
這為 DeFi 帶來了棘手的安全問題。開發者可以發布警告、逐步關閉介面並建議遷移,但他們可能無法抹去每一個舊合約。與此同時,攻擊者可以持續掃描資產、邊緣情況和被遺忘的權限。
交易者和用戶應留意的事項
對於普通用戶而言,實際教訓是謹慎對待舊合約。熟悉的協議名稱並不自動意味著舊介面或橋接仍然安全。在與任何舊合約互動之前,用戶應確認協議是否仍提供支持、資金是否仍受到監控,以及是否存在官方的遷移路徑。
對於開發者而言,此事件提醒我們,下線計劃需要納入協議設計之中。棄用一個系統並不等同於消除風險。清晰的警告、提款窗口、監控機制和緊急程序都至關重要,尤其是在管理員控制被刻意限制的情況下。
關鍵不在於不可變代碼是壞事,而在於不可變性使運營紀律變得更加重要。一旦代碼上線且不可更改,被廢棄的基礎設施可能在數年內成為安全邊界的一部分。
本文由新聞編輯部撰寫,並由 Samuel Rae 編輯。
本報告基於 SlowMist 提供的信息。來自 SlowMist
