Заброшенный контракт Aztec Connect взломали на $2,19 млн — через три года после закрытия

Последнее обновление: 2026/06/15

Что произошло

14 июня 2026 года неизвестный вывел около $2,19 млн из Aztec Connect — приватного сервиса на базе ZK-rollup, который команда закрыла (депрекейтнула) ещё в марте 2023 года. Подозрительный отток первой зафиксировала аудиторская фирма CertiK, технический разбор дала BlockSec. Текущая сеть Aztec и средства её пользователей не пострадали: уязвимым оказался только старый, давно остановленный контракт.

Что произошло
Детали
Что это значит
Контекст

Детали

По данным BlockSec, корень проблемы — рассинхрон между проверкой ZK-доказательства и логикой расчётов: подтверждённые транзакции «не были жёстко связаны с набором операций, который фиксирует доказательство». Из-за этого контракт засчитывал ценность без реальной проверки на Ethereum и создавал ничем не обеспеченные балансы, которые затем выводились.

Состав выведенного (по данным аналитиков, на 14 июня):

до 5 100 USDT

Bybit · новичкамдо 5 100 USDTДепозит $100 — и до 5 100 USDT в наградахЗабери бонус

Актив	Объём
ETH	908,99 (~$1,565 млн)
DAI	270 513
wstETH	167,89 (~$357 тыс.)
Прочее	yvDAI, yvWETH, LUSD, yvLUSD

Aztec Connect остановили в марте 2023-го, а ресурсы команда перевела на новую сеть Aztec; пользователям дали больше года на вывод средств. При этом, как сообщает CryptoTimes, контракт RollupProcessorV3 обновляли в апреле 2024 года — и это обновление, по имеющимся данным, не проходило внешний аудит. В Aztec Labs подчёркивают, что не владеют админ-ключами и не могут ни поставить контракт на паузу, ни обновить его: он стал иммутабельным.

Что это значит

Прямых потерь у активных пользователей нет — Aztec Labs подтвердила, что текущая сеть в безопасности. Но это дорогой урок для всех, кто оставляет деньги в «замороженных» DeFi-протоколах. Около $2,19 млн (на 14 июня) три года пролежали в контракте, который никто не мог ни остановить, ни залатать: как только нашёлся изъян, защитить средства было уже нельзя. Иммутабельность обычно плюс — никто не подменит код, — но у закрытого протокола она оборачивается ловушкой, потому что багфикс невозможен в принципе.

Кого это касается: держателей, у которых остались депозиты или активные разрешения (approvals) в старых протоколах, которыми они давно не пользуются. Что делать прямо сейчас, а не «когда-нибудь»: вывести остатки из закрытых и неподдерживаемых dApp и отозвать неиспользуемые approvals. Незакрытый доступ к мёртвому контракту — это открытая дверь, которую уже никто не охраняет.

Контекст

Это не первый случай, когда «спящий» контракт оживает спустя годы: иммутабельный код продолжает держать средства даже после того, как команда ушла с проекта. Для приватных и ZK-решений риск выше — логика проверки доказательств сложна, а цена ошибки в ней максимальна.

до 555%

Bybit · Savingsдо 555%годовых на Savings + до 5 100 USDT новичкам · 3 шагаНачни сейчас

ТЕГИ:defi ethereum security zk

ИСТОЧНИКИ:Cointelegraph CryptoTimes BeInCrypto

ByVolodymyr Polkovnichenko

Связаться:

Крипто- и data-аналитик, инженер-программист (факультет компьютерных наук ХНУРЭ). В IT с 2008 года: администрировал корпоративный мониторинг в «Vodafone Украина», семь лет разрабатывал и продвигал веб-проекты, пять лет руководил маркетингом на метриках — конверсия, CTR, ROI, LTV.Криптовалютными рынками занимаюсь с 2021 года: ончейн-метрики, токеномика, макроэкономические индикаторы. Разработал собственную data-driven модель анализа рынка на 30+ метрик. Стек — Python (pandas, NumPy, SciPy, matplotlib), математическая статистика и EDA; сбор и сверку данных автоматизирую AI-агентами.Принцип — «Don't trust, verify»: каждая цифра проверена по первоисточнику, ключевые — минимум по двум независимым; прогнозы — только сценарии с условиями. Тезис без данных не публикуется.