Exploit-ul Aztec Connect Arată De Ce Vechile Contracte DeFi Pot Fi În Continuare Periculoase

Un vechi contract Aztec Connect a readus în prim-plan un risc DeFi familiar: infrastructura abandonată nu încetează să fie periculoasă doar pentru că un produs nu mai este activ.

TL;DR

• Un contract Aztec Connect depreciat a fost exploatat pentru aproximativ 2,1 milioane de dolari, conform rapoartelor.
• Problema evidențiază o vulnerabilitate persistentă în DeFi: contractele vechi pot rămâne active chiar și după închiderea unui produs.
• Lecția mai importantă este că închiderile necesită un management activ al riscurilor, nu doar un mesaj prin care utilizatorii sunt îndemnați să plece.

Problema cu „Depreciat"

O postare a unui cercetător în securitate a semnalat un posibil exploit care afectează Aztec Connect, cu aproximativ 2,1 milioane de dolari transferați dintr-un smart contract imutabil, conform rapoartelor. Detaliile necesită încă o analiză atentă, deoarece prima sursă este o dezvăluire a unui cercetător, nu un post-mortem complet. Însă problema generală este deja suficient de clară: contractele DeFi vechi pot rămâne active, finanțate și vulnerabile mult timp după ce majoritatea utilizatorilor au încetat să se mai gândească la ele.

În software-ul obișnuit, un produs depreciat dispare de obicei treptat. Utilizatorii nu îl mai descarcă, companiile nu îl mai susțin și în cele din urmă dispare în fundal.

DeFi nu funcționează astfel. Un smart contract poate rămâne pe blockchain pe termen nelimitat. Dacă deține fonduri sau are orice rută către fonduri, poate fi în continuare țintit. Interfața front-end poate fi dispărută. Echipa poate fi trecut mai departe. Documentația poate spune utilizatorilor să retragă fondurile. Nimic din toate acestea nu contează pentru un atacator care analizează contractul în sine.

Imutabilitatea Are Două Tăișuri

Cazul Aztec Connect este deosebit de inconfortabil deoarece contractul a fost descris ca imutabil. În DeFi, imutabilitatea este adesea tratată ca o caracteristică pozitivă. Înseamnă că utilizatorii nu trebuie să aibă încredere în o echipă pentru a evita schimbarea regulilor ulterior.

Dar imutabilitatea elimină și opțiunile de urgență.

Dacă un contract activ are o problemă și nu mai există niciun control administrativ, echipa poate să nu îl poată întrerupe, actualiza sau corecta. Acest lucru poate lăsa utilizatorii dependenți de dacă fondurile au fost deja retrase și dacă orice valoare rămasă poate fi protejată prin alte mijloace.

Acesta este compromisul cu care DeFi se confruntă în continuare. Posibilitatea de actualizare creează riscuri de încredere și guvernanță. Imutabilitatea creează riscuri de răspuns.

Contractele Vechi Au Nevoie de Planuri Reale de Închidere

Lecția de aici nu este pur și simplu „contractele vechi sunt rele." Lecția este că închiderile trebuie tratate ca evenimente de securitate.

O închidere responsabilă ar trebui să includă avertismente repetate pentru utilizatori, termene limită de retragere acolo unde este posibil, monitorizare după închidere, documentație clară și comunicare publică a riscurilor. Dacă fonduri semnificative rămân în contracte vechi, echipele trebuie să presupună că atacatorii încă supraveghează.

Acest lucru este valabil mai ales pentru sistemele de confidențialitate, bridge, rollup și cross-chain, unde logica contractelor poate fi mai complexă, iar modurile de eșec mai puțin evidente pentru utilizatorii obișnuiți.

Ce Pot Reține Utilizatorii din Aceasta

Pentru utilizatori, regula este simplă: nu lăsați fonduri în contracte depreciate dacă nu există un motiv foarte clar.

Dacă un protocol le spune utilizatorilor să retragă, luați acest lucru în serios. Dacă o interfață front-end se închide, nu presupuneți că riscul a luat sfârșit. Dacă un contract este vechi, neauditat în starea sa actuală sau nu mai este monitorizat, poate fi mai sigur să îl tratați ca infrastructură ostilă.

Incidentul Aztec Connect este un alt memento că riscul DeFi are o coadă lungă. Produsele pot dispărea din conversațiile de pe piață în timp ce contractele lor rămân pe blockchain, așteptând ca cineva să găsească următoarea vulnerabilitate.

Surse

• Dezvăluire de către cercetător în securitate
• Site-ul oficial Aztec