
أفادت Aztec Labs أنها تحقق في استغلال محتمل يؤثر على منتج دفع قديم لـ Aztec يعود لعام 2021.
في منشور لـ Aztec Labs، قال الفريق إن حوالي 2 مليون دولار تم تحويلها من عقد ذكي غير قابل للتغيير في معاملة على Etherscan بتاريخ 17 يونيو.
قالت الشركة إن المنتج المتأثر كان "تجميعًا مرحليًا ثانيًا غير قابل للتغيير" (immutable stage 2 rollup) تم إيقافه في عام 2022. كما قالت إن Aztec Labs لا تملك مفاتيح تحكم إدارية أو سيطرة على النظام، مما يعني أنها لا تستطيع إيقاف أو ترقية العقد القديم.
قالت مؤسسة Aztec إنها أُبلغت بالاستغلال المحتمل في 17 يونيو. في منشور للمؤسسة، قالت إنه لا توجد "روابط" بين المنتج القديم وأي عقود ذكية مرتبطة بالشبكة الحالية أو رمز AZTEC ERC20.
كما قالت المؤسسة إن المنتج تم إيقافه قبل أربع سنوات وأن Aztec Labs لم تعد تسيطر على النظام. ووجهت المستخدمين إلى Aztec Labs للحصول على التحديثات بينما يقوم الفريق بمراجعة المعاملة والعقد المتأثر.
قالت Aztec Labs إن الحالة الأخيرة منفصلة عن الاستغلال الذي حدث في 14 يونيو والذي شمل Aztec Connect، وهو منتج قديم آخر. كما أفادت crypto.news سابقًا، فقدت Aztec Connect 2.1 مليون دولار بعد استغلال عقد ذكي قديم غير قابل للتغيير.
وفقًا لتقرير سابق صادر عن crypto.news، تضمن هجوم Aztec Connect عدم تطابق في التحقق مما سمح للأرصدة غير المدعومة بالانتقال عبر سجلات تسوية إيثيريوم. تتبعت شركات الأمن لاحقًا المشكلة إلى عقد RollupProcessorV3 قديم.
تشير الحالة الجديدة مرة أخرى إلى مشكلة تواجه منتجات التمويل اللامركزي (DeFi) المتوقفة. حتى بعد إيقاف المنتج، يمكن لعقوده أن تظل نشطة على إيثيريوم. إذا بقيت الأموال داخل عقود غير قابلة للتغيير، فقد يظل المهاجمون يبحثون عن طرق لنقلها.
يخلق هذا مشكلة استجابة صعبة. قد يتمكن فريق عامل من تحذير المستخدمين وتتبع الأموال، لكنه قد لا يتمكن من إيقاف عقد قديم لا يحتوي على ضوابط إدارية. قالت Aztec Labs إنها ستشارك المزيد من التحديثات "في الوقت المناسب".
في الوقت الحالي، ترسم Aztec Labs ومؤسسة Aztec خطًا واضحًا بين منتج المدفوعات القديم والشبكة الحالية. المزاعم الرئيسية من كلا المجموعتين هي أن الحادث يتعلق بنظام قديم، وليس شبكة Aztec النشطة أو رمز AZTEC.