已停用的 DeFi 协议 Aztec Connect 的一个废弃智能合约本周遭利用,损失 200 万美元——距离该平台关闭已超过三年。这一事件凸显了去中心化金融中一个持续存在的危险:一旦合约在区块链上上线,就无法更改或终止,即使项目本身已消失,它仍是一个对攻击者敞开的靶子。
攻击如何运作
攻击者从自 Aztec Connect 于 2024 年停止运营以来一直未被触碰的合约中盗取了约 200 万美元。由于该合约不可变——这是许多 DeFi 协议的核心特性——关闭后无人能更新它以锁定资金或禁用功能。此次攻击似乎利用了已知漏洞,或仅仅是提取了因合约原始权限而仍可访问的资金。
为何不可变合约存在风险
不可变性常被赞为区块链代码的安全特性:部署后无人能更改规则。但同一特性在项目关闭时却成为负担。如果合约持有用户资金、授予提款权或与其他协议交互,这些功能将永远保持活跃。Aztec Connect 的案例是一个典型例子:团队离开了,但合约仍在运行——最终被攻击者发现。
退出策略中的缺口
此次攻击凸显了许多 DeFi 项目关闭计划中缺失的一环。很少有协议设计出干净、不可逆的智能合约停用方式。简单的步骤——如添加暂停功能、自毁选项(在支持的情况下)或迁移机制——可以降低风险,但这需要在开发时具备前瞻性。在 Aztec Connect 的案例中,项目结束时并未设置此类防护措施。
这 200 万美元的损失很可能无法追回。由于区块链强制执行原始合约逻辑,没有中央机构可以撤销交易或追回资金。钱已消失,攻击者身份不明。
DeFi 可以学到什么
监管机构和安全研究人员多年来一直警告,废弃的合约会制造定时炸弹。Aztec Connect 攻击并非首例——也可能不是最后一例——休眠合约被洗劫的事件。现在的问题是,开发者是否会将合约不可变性视为项目结束后可关闭的功能,还是继续将关闭视为仅仅关停网站。如果协议不为自身终结做规划,类似的损失很可能还会发生。
