Sebuah kontrak pintar yang ditinggalkan daripada protokol DeFi yang sudah tidak berfungsi, Aztec Connect, telah dieksploitasi sebanyak $2 juta minggu ini — lebih daripada tiga tahun selepas platform itu ditutup. Insiden ini menekankan bahaya yang berterusan dalam kewangan terdesentralisasi: sebaik sahaja kontrak disiarkan di blokchain, ia tidak boleh diubah atau dimatikan, meninggalkan sasaran tetap untuk penyerang walaupun projek itu sendiri sudah tiada.
Bagaimana Eksploitasi Berlaku
Penyerang menguras kira-kira $2 juta daripada kontrak yang tidak disentuh sejak Aztec Connect menghentikan operasi pada tahun 2024. Oleh kerana kontrak itu tidak boleh diubah — ciri teras banyak protokol DeFi — tiada sesiapa yang boleh mengemas kininya untuk mengunci dana atau melumpuhkan fungsi selepas penutupan. Eksploitasi ini nampaknya mengambil kesempatan daripada kelemahan yang diketahui atau sekadar mengeluarkan dana yang masih boleh diakses disebabkan kebenaran asal kontrak.
Mengapa Kontrak Tidak Boleh Diubah Menjadi Risiko
Ketidakbolehuubahan sering dipuji sebagai ciri keselamatan dalam kod blokchain: tiada sesiapa yang boleh mengubah peraturan selepas penggunaan. Tetapi sifat yang sama menjadi liabiliti apabila projek ditutup. Jika kontrak memegang dana pengguna, memberikan hak pengeluaran, atau berinteraksi dengan protokol lain, fungsi tersebut kekal aktif selama-lamanya. Kes Aztec Connect adalah contoh buku teks: pasukan meninggalkannya, tetapi kontrak terus berjalan — dan akhirnya penyerang menemuinya.
Jurang dalam Strategi Keluar
Eksploitasi ini menonjolkan bahagian yang hilang dalam pelan penutupan banyak projek DeFi. Hanya sedikit protokol yang direka untuk penyahaktifan kontrak pintar mereka yang bersih dan tidak boleh diterbalikkan. Langkah mudah — seperti menambah fungsi jeda, pilihan pemusnahan sendiri (jika disokong), atau mekanisme migrasi — boleh mengurangkan risiko, tetapi ia memerlukan pandangan jauh semasa pembangunan. Dalam kes Aztec Connect, tiada langkah keselamatan sedemikian disediakan semasa projek berakhir.
Kerugian $2 juta itu tidak mungkin dapat dipulihkan. Oleh kerana blokchain menguatkuasakan logik kontrak asal, tiada pihak berkuasa pusat untuk membalikkan transaksi atau mendapatkan semula dana tersebut. Wang itu hilang, dan penyerang kekal tanpa nama.
Apa yang DeFi Boleh Pelajari
Pengawal selia dan penyelidik keselamatan telah memberi amaran selama bertahun-tahun bahawa kontrak yang ditinggalkan mencipta bom jangka yang sedia meletup. Eksploitasi Aztec Connect bukanlah yang pertama — dan mungkin bukan yang terakhir — contoh kontrak terbiar yang dirompak. Persoalannya sekarang adalah sama ada pemaju akan menganggap ketidakbolehuubahan kontrak sebagai ciri yang perlu dimatikan selepas projek mati, atau terus menganggap penutupan hanya sebagai mematikan laman web. Tanpa perubahan dalam cara protokol merancang untuk pengakhiran mereka sendiri, kerugian serupa mungkin akan berlaku.
