アステックのレガシーインフラは、連携した攻撃の波にさらされ、わずか3日で400万ドルを超える損失を出しました。
これらの攻撃は、すでに数年前にシャットダウンされた廃止済みのスマートコントラクトを標的にしていましたが、それでもオンチェーンの流動性を保持していました。
非アクティブかつ不変とラベル付けされていたにもかかわらず、コントラクトは攻撃者にアクセス可能な状態であり、ゼロ知識証明検証ロジックの弱点を突かれました。
現在のアステックネットワークやAZTECトークンには影響しませんでしたが、長年にわたり存在し続けている退役したDeFiシステムに潜むリスクを露呈しました。
最初の事件は6月14日に発生し、攻撃者は退役後に公式にシャットダウンされたプライバシー重視のブリッジ、アステックコネクトプロトコルを悪用しました。
このコントラクトはすでに非アクティブと見なされていましたが、それでも残存資金を保持していました。
攻撃者は約210万ドルのデジタル資産を流出させ、909 ETH、270,000 DAI、167 wstETHなどの他の小規模な保有も含まれていました。
この脆弱性は、ロールアップ証明の検証方法に欠陥があったことに関連しており、不正または操作された証明を正当なものとして受け入れることを可能にしていました。
状況をより深刻にしたのは、コントラクト自体の性質でした。
アステックコネクトは不変とされており、一度展開されると一時停止や修正ができませんでした。
ユーザーは以前、シャットダウン前に資金を引き出すよう促されていましたが、残高は数年後に簡単に悪用されるターゲットとなりました。
セキュリティチームは、この事件をレビューし、ゼロ知識証明の検証とオンチェーン決済ロジックの関係性の崩壊を指摘しました。
簡単に言えば、システムは正しく一致しない証明を受け入れ、攻撃者が不正な引き出しを引き起こせる状態になっていました。
わずか3日後、別のレガシーシステムであるプライベートロールアップブリッジが攻撃を受けました。
このコントラクトもアステックの古いインフラの一部であり、以前のロールアップ設計からの移行後に廃止されていました。
このケースでは、攻撃者は約1,158 ETHを流出させ、当時の価値でほぼ215万ドルに相当しました。
使用された手法は異なっていましたが、根本的な技術的原因は類似していました。
攻撃者は、基本的な証明の不一致を直接操作する代わりに、ブリッジ設計に埋め込まれた脆弱な「エスケープハッチ」メカニズムを利用しました。
特別に作成されたゼロ知識証明を提出することで、コントラクトの退出ロジックをトリガーできました。
システムは証明を誤って検証し、基礎となる状態遷移の適切な検証なしに資金を解放しました。
これにより、攻撃者は一連の協調した操作で流動性を抽出できました。
先の脆弱性と同様に、この侵害は秘密鍵の漏洩やリエントランシーの脆弱性を伴いませんでした。
むしろ、レガシーロールアップシステムにおける証明検証の構造に深刻な問題があることを浮き彫りにしました。特に、コントラクトが公式にサンセットされた後もオンチェーン上に恒久的に存在し続ける場合です。
両事件の後、アステックラボとアステック財団は、影響を受けたシステムは廃止された製品であり、現在のアステックネットワークやAZTECトークンエコシステムとは無関係であると確認しました。
アステック財団は、2026年6月17日に発生した廃止された製品を標的とした潜在的な脆弱性について認識しています。この製品と現在のネットワークやAZTEC ERC20トークンに関連するスマートコントラクトとの間にリンクはありません。 この製品は4年前に廃止されました… https://t.co/kANaIuw8HF — アステック財団 (@aztecFND) 2026年6月18日
アステック財団は、2026年6月17日に発生した廃止された製品を標的とした潜在的な脆弱性について認識しています。この製品と現在のネットワークやAZTEC ERC20トークンに関連するスマートコントラクトとの間にリンクはありません。
この製品は4年前に廃止されました… https://t.co/kANaIuw8HF
— アステック財団 (@aztecFND) 2026年6月18日
彼らは、両コントラクトはアップグレードや一時停止、制御ができない設計であり、展開時に不変とされていたことを強調しました。
セキュリティ企業のCertiK Alertも、プライベートロールアップブリッジの脆弱性を指摘し、攻撃者のアドレスを特定し、特定のイーサリアム取引に関連する資金の動きを確認しました。
彼らの分析は他のレビューとも一致し、脆弱性は従来のスマートコントラクトのバグではなく、ゼロ知識証明検証の欠陥に起因していることを示唆しています。
アステックの代表者も、プライベートロールアップブリッジとアステックコネクトの事件は別個のものでありながら、短期間に発生し、類似した技術的弱点を共有していると明らかにしました。
396.18K 人気度
94.24M 人気度
62.41K 人気度
976.02K 人気度
2.17M 人気度
アステカネットワーク、2回のハッキングで3日間にわたり400万ドル以上を失う - CoinJournal
アステックのレガシーインフラは、連携した攻撃の波にさらされ、わずか3日で400万ドルを超える損失を出しました。
これらの攻撃は、すでに数年前にシャットダウンされた廃止済みのスマートコントラクトを標的にしていましたが、それでもオンチェーンの流動性を保持していました。
非アクティブかつ不変とラベル付けされていたにもかかわらず、コントラクトは攻撃者にアクセス可能な状態であり、ゼロ知識証明検証ロジックの弱点を突かれました。
現在のアステックネットワークやAZTECトークンには影響しませんでしたが、長年にわたり存在し続けている退役したDeFiシステムに潜むリスクを露呈しました。
最初の侵害:アステックコネクトから210万ドル流出
最初の事件は6月14日に発生し、攻撃者は退役後に公式にシャットダウンされたプライバシー重視のブリッジ、アステックコネクトプロトコルを悪用しました。
このコントラクトはすでに非アクティブと見なされていましたが、それでも残存資金を保持していました。
攻撃者は約210万ドルのデジタル資産を流出させ、909 ETH、270,000 DAI、167 wstETHなどの他の小規模な保有も含まれていました。
この脆弱性は、ロールアップ証明の検証方法に欠陥があったことに関連しており、不正または操作された証明を正当なものとして受け入れることを可能にしていました。
状況をより深刻にしたのは、コントラクト自体の性質でした。
アステックコネクトは不変とされており、一度展開されると一時停止や修正ができませんでした。
ユーザーは以前、シャットダウン前に資金を引き出すよう促されていましたが、残高は数年後に簡単に悪用されるターゲットとなりました。
セキュリティチームは、この事件をレビューし、ゼロ知識証明の検証とオンチェーン決済ロジックの関係性の崩壊を指摘しました。
簡単に言えば、システムは正しく一致しない証明を受け入れ、攻撃者が不正な引き出しを引き起こせる状態になっていました。
第二の攻撃:プライベートロールアップブリッジから215万ドル流出
わずか3日後、別のレガシーシステムであるプライベートロールアップブリッジが攻撃を受けました。
このコントラクトもアステックの古いインフラの一部であり、以前のロールアップ設計からの移行後に廃止されていました。
このケースでは、攻撃者は約1,158 ETHを流出させ、当時の価値でほぼ215万ドルに相当しました。
使用された手法は異なっていましたが、根本的な技術的原因は類似していました。
攻撃者は、基本的な証明の不一致を直接操作する代わりに、ブリッジ設計に埋め込まれた脆弱な「エスケープハッチ」メカニズムを利用しました。
特別に作成されたゼロ知識証明を提出することで、コントラクトの退出ロジックをトリガーできました。
システムは証明を誤って検証し、基礎となる状態遷移の適切な検証なしに資金を解放しました。
これにより、攻撃者は一連の協調した操作で流動性を抽出できました。
先の脆弱性と同様に、この侵害は秘密鍵の漏洩やリエントランシーの脆弱性を伴いませんでした。
むしろ、レガシーロールアップシステムにおける証明検証の構造に深刻な問題があることを浮き彫りにしました。特に、コントラクトが公式にサンセットされた後もオンチェーン上に恒久的に存在し続ける場合です。
アステックとセキュリティ企業の対応
両事件の後、アステックラボとアステック財団は、影響を受けたシステムは廃止された製品であり、現在のアステックネットワークやAZTECトークンエコシステムとは無関係であると確認しました。
彼らは、両コントラクトはアップグレードや一時停止、制御ができない設計であり、展開時に不変とされていたことを強調しました。
セキュリティ企業のCertiK Alertも、プライベートロールアップブリッジの脆弱性を指摘し、攻撃者のアドレスを特定し、特定のイーサリアム取引に関連する資金の動きを確認しました。
彼らの分析は他のレビューとも一致し、脆弱性は従来のスマートコントラクトのバグではなく、ゼロ知識証明検証の欠陥に起因していることを示唆しています。
アステックの代表者も、プライベートロールアップブリッジとアステックコネクトの事件は別個のものでありながら、短期間に発生し、類似した技術的弱点を共有していると明らかにしました。