旧版 DeFi 合约为何仍成攻击目标

Aztec Connect 作为已废弃的去中心化金融平台,其智能合约在被弃用后仍保持活跃状态,成为攻击者利用的薄弱环节。尽管项目已于2023年3月停止运营并迁移至新一代网络,但底层合约未被销毁或锁定,导致其持续暴露于外部威胁之中。此次攻击正是针对该系统旧版本中的验证机制缺陷展开,表明即使项目不再维护,链上资产依然可能面临现实经济风险。

验证逻辑与结算路径的错位引发漏洞

据加密安全公司 BlockSec 分析,攻击者利用了 Aztec Connect 在零知识证明验证与以太坊结算之间存在的不一致。合约所验证的交易集与实际在以太坊上执行的结算逻辑未能有效绑定,造成两者对交易列表存在不同解读。这一结构性差异使攻击者能够构造虚假交易记录,生成无实际支撑的余额,并通过多次重复操作提取多种资产,包括以太币、DAI、wstETH 等共计约210万美元。

弃用不代表安全:不可更改合约的双刃剑

Aztec Labs 表示,该系统无管理员密钥,无法暂停或升级。这种完全不可更改的设计虽体现去中心化优势,但在发现漏洞后却丧失应急能力。一旦合约部署完成,团队便无法干预,即便察觉异常也无法冻结提现或修补逻辑。这也反映出开发者在项目生命周期管理上的挑战:如何确保旧系统在停止支持后仍能避免被滥用。

DeFi 安全形势持续承压

本月已有至少4400万美元因多起攻击损失,涵盖私钥泄露、桥接验证缺陷及合约逻辑异常等类型。Aztec Connect 事件再次揭示,安全威胁正从单一模式向多样化技术缺陷扩散。尤其对于依赖零知识证明的隐私型协议而言,必须强化证明验证与链上结算之间的强绑定机制,防止出现“形式合规但实质失真”的记账结果。

用户应重视遗留系统的潜在风险

该事件提醒所有参与者:在去中心化金融中,“弃用”并不等于“消失”。只要合约仍可调用、资产仍可提取,旧基础设施就始终构成攻击面。投资者需主动核查自身资产是否仍存在于已停运的协议中,同时推动项目方制定清晰的合约退役流程与用户迁移指引,提升整个生态的安全韧性。