Un contract inteligent abandonat al protocolului DeFi defunct Aztec Connect a fost exploatat pentru 2 milioane de dolari săptămâna aceasta — la mai bine de trei ani după ce platforma s-a închis. Incidentul subliniază un pericol persistent în finanțele descentralizate: odată ce un contract este activ pe blockchain, nu poate fi modificat sau oprit, rămânând o țintă permanentă pentru atacatori chiar și după ce proiectul în sine a dispărut.
Cum a funcționat exploatarea
Atacatorul a golit aproximativ 2 milioane de dolari dintr-un contract care fusese lăsat neatins de când Aztec Connect a încetat operațiunile în 2024. Deoarece contractul era imutabil — o caracteristică de bază a multor protocoale DeFi — nimeni nu l-a putut actualiza pentru a bloca fondurile sau a dezactiva funcționalitatea după închidere. Se pare că exploatarea a profitat de o vulnerabilitate cunoscută sau pur și simplu a retras fonduri care erau încă accesibile datorită permisiunilor originale ale contractului.
De ce contractele imutabile sunt un risc
Imutabilitatea este adesea lăudată ca o caracteristică de securitate în codul blockchain: nimeni nu poate schimba regulile după implementare. Dar aceeași trăsătură devine o responsabilitate atunci când un proiect se închide. Dacă un contract deține fonduri ale utilizatorilor, acordă drepturi de retragere sau interacționează cu alte protocoale, acele funcții rămân active pentru totdeauna. Cazul Aztec Connect este un exemplu clasic: echipa a plecat, dar contractul a continuat să ruleze — și, în cele din urmă, un atacator l-a găsit.
Lacuna din strategiile de ieșire
Exploatarea evidențiază o piesă lipsă în planurile de închidere ale multor proiecte DeFi. Puține protocoale sunt proiectate pentru o dezactivare curată și ireversibilă a contractelor lor inteligente. Pași simpli — cum ar fi adăugarea unei funcții de pauză, a unei opțiuni de autodistrugere (acolo unde este acceptată) sau a unui mecanism de migrare — ar putea reduce riscul, dar necesită previziune în timpul dezvoltării. În cazul Aztec Connect, nu existau astfel de măsuri de siguranță atunci când proiectul s-a încheiat.
Pierderea de 2 milioane de dolari este puțin probabil să fie recuperabilă. Deoarece blockchain-ul aplică logica originală a contractului, nu există nicio autoritate centrală care să inverseze tranzacția sau să recupereze fondurile. Banii au dispărut, iar atacatorul rămâne anonim.
Ce poate învăța DeFi
Regulatorii și cercetătorii în securitate au avertizat de ani de zile că contractele abandonate creează bombe cu ceas. Exploatarea Aztec Connect nu este primul — și probabil nici ultimul — exemplu de contract inactiv jefuit. Întrebarea acum este dacă dezvoltatorii vor trata imutabilitatea contractelor ca pe o caracteristică ce trebuie dezactivată după moartea unui proiect sau vor continua să trateze închiderile ca pe simpla oprire a unui site web. Fără o schimbare în modul în care protocoalele își planifică propriul sfârșit, pierderi similare sunt susceptibile să urmeze.
