Покинутий контракт Aztec Connect зламали на $2,19 млн — через три роки після закриття

Останнє оновлення: 2026/06/15

Що сталося

14 червня 2026 року невідомий вивів близько $2,19 млн із Aztec Connect — приватного сервісу на базі ZK-rollup, який команда закрила (депрекейтнула) ще в березні 2023 року. Підозрілий відтік першою зафіксувала аудиторська фірма CertiK, технічний розбір дала BlockSec. Поточна мережа Aztec і кошти її користувачів не постраждали: вразливим виявився лише старий, давно зупинений контракт.

Що сталося
Деталі
Що це означає
Контекст

Деталі

За даними BlockSec, корінь проблеми — розсинхрон між перевіркою ZK-доказу та логікою розрахунків: підтверджені транзакції «не були жорстко пов’язані з набором операцій, який фіксує доказ». Через це контракт зараховував цінність без реальної перевірки на Ethereum і створював нічим не забезпечені баланси, які потім виводилися.

Склад виведеного (за даними аналітиків, на 14 червня):

до 555%

Bybit · Savingsдо 555%річних на Savings + до 5 100 USDT новачкам · 3 крокиПочни зараз

Актив	Обсяг
ETH	908,99 (~$1,565 млн)
DAI	270 513
wstETH	167,89 (~$357 тис.)
Інше	yvDAI, yvWETH, LUSD, yvLUSD

Aztec Connect зупинили в березні 2023-го, а ресурси команда перевела на нову мережу Aztec; користувачам дали більше року на виведення коштів. При цьому, як повідомляє CryptoTimes, контракт RollupProcessorV3 оновлювали у квітні 2024 року — і це оновлення, за наявними даними, не проходило зовнішнього аудиту. В Aztec Labs наголошують, що не володіють адмін-ключами й не можуть ані поставити контракт на паузу, ані оновити його: він став іммутабельним.

Що це означає

Прямих втрат в активних користувачів немає — Aztec Labs підтвердила, що поточна мережа в безпеці. Але це дорогий урок для всіх, хто залишає гроші в «заморожених» DeFi-протоколах. Близько $2,19 млн (на 14 червня) три роки пролежали в контракті, який ніхто не міг ані зупинити, ані залатати: щойно знайшовся ґандж, захистити кошти було вже неможливо. Іммутабельність зазвичай плюс — ніхто не підмінить код, — але в закритого протоколу вона обертається пасткою, бо багфікс неможливий у принципі.

Кого це стосується: власників, у яких лишилися депозити або активні дозволи (approvals) у старих протоколах, якими вони давно не користуються. Що робити просто зараз, а не «колись»: вивести залишки із закритих і непідтримуваних dApp та відкликати невикористовувані approvals. Незакритий доступ до мертвого контракту — це відчинені двері, які вже ніхто не охороняє.

Контекст

Це не перший випадок, коли «сплячий» контракт оживає за роки: іммутабельний код продовжує тримати кошти навіть після того, як команда пішла з проєкту. Для приватних і ZK-рішень ризик вищий — логіка перевірки доказів складна, а ціна помилки в ній максимальна.

до 555%

Bybit · Savingsдо 555%річних на Savings + до 5 100 USDT новачкам · 3 крокиПочни зараз

ТЕГИ:defi ethereum security zk

ДЖЕРЕЛА:Cointelegraph CryptoTimes BeInCrypto

Поділитися

ByVolodymyr Polkovnichenko

Зв'язатися:

Крипто- та data-аналітик, інженер-програміст (факультет комп'ютерних наук ХНУРЕ). В IT з 2008 року: адміністрував корпоративний моніторинг у «Vodafone Україна», сім років розробляв і просував веб-проєкти, п'ять років керував маркетингом на метриках — конверсія, CTR, ROI, LTV.Криптовалютними ринками займаюся з 2021 року: ончейн-метрики, токеноміка, макроекономічні індикатори. Розробив власну data-driven модель аналізу ринку на 30+ метрик. Стек — Python (pandas, NumPy, SciPy, matplotlib), математична статистика та EDA; збір і звірку даних автоматизую AI-агентами.Принцип — «Don't trust, verify»: кожна цифра перевірена за першоджерелом, ключові — щонайменше за двома незалежними; прогнози — лише сценарії з умовами. Теза без даних не публікується.