За три дня в Aztec произошла вторая атака: злоумышленники выкачали около 2,5 миллионов долларов США из Private Rollup Bridge протокола из-за ошибки в механизме аварийного люка.
Механика ацтекской атаки
В недавней атаке использовалась ошибка проектирования, которая позволила злоумышленникам активировать функцию аварийного выхода моста без надлежащей проверки. Ранее на той же неделе появилась отдельная уязвимость, когда счетчики транзакций расходились со сводными данными, которые должен был зафиксировать блокчейн, что подвергало краже дополнительные средства. Оба инцидента подчеркивают, насколько сложное взаимодействие между контрактами внутри сети и проверкой вне сети может открыть неожиданные возможности для атак.
Более широкие риски для проектов уровня 2 и проектов с нулевым разглашением
Инвесторы и разработчики теперь сталкиваются с повышенным вниманием, поскольку решения уровня 2 и архитектуры с нулевым разглашением данных становятся главными целями для изощренных эксплойтов. Двойные инциденты с Aztec показывают, что защита сложных экосистем блокчейнов требует постоянного аудита как кода смарт-контракта, так и окружающей инфраструктуры. Участникам рынка следует следить за появлением новых протоколов безопасности, целью которых является устранение пробелов между децентрализованными приложениями и лежащими в их основе уровнями проверки.
Оператор MEV jaredfromsubway.eth теряет 15 миллионов долларов
Оператор Ethereum MEV jaredfromsubway.eth сообщил об убытках примерно в 15 миллионов долларов после того, как злоумышленник переписал логику автоматической торговли бота вместо использования обычной ошибки смарт-контракта. Злоумышленник сфабриковал упакованные активы и манипулировал пулами ликвидности, чтобы создать ложную сэндвич-возможность, побуждая бота предоставить разрешение на извлечение активов. Этот новый вектор атаки подчеркивает необходимость надежного контроля доступа в рамках автоматизации криптоторговли, поскольку инвесторы все больше полагаются на алгоритмические стратегии для участия на рынке.