Что произошло
14 июня 2026 года неизвестный вывел около $2,19 млн из Aztec Connect — приватного сервиса на базе ZK-rollup, который команда закрыла (депрекейтнула) ещё в марте 2023 года. Подозрительный отток первой зафиксировала аудиторская фирма CertiK, технический разбор дала BlockSec. Текущая сеть Aztec и средства её пользователей не пострадали: уязвимым оказался только старый, давно остановленный контракт.
Детали
По данным BlockSec, корень проблемы — рассинхрон между проверкой ZK-доказательства и логикой расчётов: подтверждённые транзакции «не были жёстко связаны с набором операций, который фиксирует доказательство». Из-за этого контракт засчитывал ценность без реальной проверки на Ethereum и создавал ничем не обеспеченные балансы, которые затем выводились.
Состав выведенного (по данным аналитиков, на 14 июня):
| Актив | Объём |
|---|---|
| ETH | 908,99 (~$1,565 млн) |
| DAI | 270 513 |
| wstETH | 167,89 (~$357 тыс.) |
| Прочее | yvDAI, yvWETH, LUSD, yvLUSD |
Aztec Connect остановили в марте 2023-го, а ресурсы команда перевела на новую сеть Aztec; пользователям дали больше года на вывод средств. При этом, как сообщает CryptoTimes, контракт RollupProcessorV3 обновляли в апреле 2024 года — и это обновление, по имеющимся данным, не проходило внешний аудит. В Aztec Labs подчёркивают, что не владеют админ-ключами и не могут ни поставить контракт на паузу, ни обновить его: он стал иммутабельным.
Что это значит
Прямых потерь у активных пользователей нет — Aztec Labs подтвердила, что текущая сеть в безопасности. Но это дорогой урок для всех, кто оставляет деньги в «замороженных» DeFi-протоколах. Около $2,19 млн (на 14 июня) три года пролежали в контракте, который никто не мог ни остановить, ни залатать: как только нашёлся изъян, защитить средства было уже нельзя. Иммутабельность обычно плюс — никто не подменит код, — но у закрытого протокола она оборачивается ловушкой, потому что багфикс невозможен в принципе.
Кого это касается: держателей, у которых остались депозиты или активные разрешения (approvals) в старых протоколах, которыми они давно не пользуются. Что делать прямо сейчас, а не «когда-нибудь»: вывести остатки из закрытых и неподдерживаемых dApp и отозвать неиспользуемые approvals. Незакрытый доступ к мёртвому контракту — это открытая дверь, которую уже никто не охраняет.
Контекст
Это не первый случай, когда «спящий» контракт оживает спустя годы: иммутабельный код продолжает держать средства даже после того, как команда ушла с проекта. Для приватных и ZK-решений риск выше — логика проверки доказательств сложна, а цена ошибки в ней максимальна.
