陈旧协议漏洞引发大规模资产流失事件

Aztec Connect遭遇严重安全缺陷，造成价值约210万美元的数字资产被非法转移。根据BlockSec披露的数据，攻击者成功提取了909枚ETH、27万枚DAI以及167枚wstETH。该事件的核心原因在于一条已废弃三年的隐私桥接器遭到恶意利用，且由于系统控制权已被彻底放弃，无法实施任何干预措施。

废弃桥梁成为攻击跳板，验证机制存在致命缺陷

Aztec Connect于2023年3月正式停止服务，此前作为zk rollup技术下的跨链桥，曾支持与Aave、Lido等主流DeFi平台对接。至2024年3月，其全部基础设施已被拆除。尽管该协议以强化用户隐私为设计初衷，但其架构在退役后未能有效隔离风险。

Phalcon分析平台指出，漏洞根源在于交易批次验证逻辑与Layer 1共识规则之间存在不一致。CertiK进一步揭示，系统仅对初始数据片段进行校验，未覆盖完整状态，使攻击者可伪造提款请求并完成资金窃取。

Aztec Labs官方声明强调：该服务自三年前已完全停运，无任何管理密钥留存，协议状态不可更改，亦无后续维护能力。

基金会回应：仅影响历史遗留系统，当前网络保持安全

事件发生后，Aztec Labs启动内部审查程序，但明确表示不具备修复或阻断攻击的能力。与此同时，Aztec基金会向公众保证，此次事故未波及正在运行的AZTEC代币或活跃合约，当前重点仍聚焦于构建新一代隐私保护智能合约。

基金会重申：“问题仅限于已废弃的Aztec Connect系统，现有生态与代币体系不受影响。”

在决定终止该桥接器时，团队主动放弃所有控制权限，以契合其去中心化与隐私优先理念。然而，这一选择也带来了不可逆的安全隐患，使得后续攻击无法通过常规手段遏制。

巨额损失凸显废弃系统潜在威胁

DeFiLlama数据显示，漏洞发生前，Aztec Connect合约中质押资产总额约为215万美元，几乎全部在本次攻击中被清空。

具体被盗资产包括：909枚ETH、27万枚DAI及167枚wstETH。

整个基础设施的全面下线并未消除其潜在风险点。此事件再次警示：已关停的区块链组件仍可能成为攻击目标，尤其当其历史数据或状态仍存在于链上时。

最新统计表明，截至六月中旬，全球范围内类似因废弃系统引发的加密攻击已累计造成4393万美元损失。此前涉及Gnosis Pay和TesseraDAO的案例亦具相似特征——其中TesseraDAO在BNB Chain上的攻击导致250万美元资产蒸发。这些事件共同揭示：即便项目已终止，其遗留结构依然构成持续性安全威胁，极易被黑客利用。