Một lỗi xác thực nhỏ, một khoản rút tiền trị giá 2,19 triệu đô la – Điều gì đã xảy ra tại Aztec Network?

Hợp đồng Router của Aztec Network đã xuất hiện trên các tin tức sau khi trở thành đối tượng của một giao dịch đáng ngờ được phát hiện trên chuỗi khối Ethereum [ETH]. Điều này dẫn đến việc mất tài sản trị giá khoảng 2,19 triệu đô la.

Thực tế, địa chỉ ví “0x0f18….edd17” đã sử dụng tiền từ hợp đồng Router của giao thức để thực hiện giao dịch đó.

Cuộc tấn công này đáng ngờ Theo CertiK, cuộc tấn công này là “đáng ngờ” vì kẻ tấn công có thể đã lợi dụng một điểm yếu trong hợp đồng thông minh, truy cập trái phép vào quỹ của giao thức, hoặc thay đổi logic của hợp đồng để rút tiền ra.

Một lỗi xác thực hợp đồng thông minh có thể xảy ra

Tuy nhiên, một số dấu hiệu cho thấy cách xử lý dữ liệu chứng minh của giao thức có thể đã bị lỗi trong quá trình xác thực hợp đồng thông minh. Vấn đề cụ thể dường như nằm ở chức năng computeRootHashes(), chức năng này kiểm tra tính hợp lệ của _proofData được cung cấp nhưng chỉ xem xét phần đầu của nó.

Tuy nhiên, phần giữa của cùng một payload _proofData chứa dữ liệu mà processDepositsAndWithdrawals() sau đó đã sử dụng để thực hiện các giao dịch chuyển token.

Do đó, kẻ tấn công có thể đã tạo ra một chứng minh độc hại trong đó phần giữa chưa được xác thực chứa các lệnh gửi tiền hoặc rút tiền đã bị thao túng, trong khi phần đã được xác thực vẫn hợp lệ và vượt qua các kiểm tra an ninh của giao thức.

Về phần mình, hợp đồng đã thực hiện các giao dịch chuyển token trái phép do các lệnh đó không được xác thực đúng cách trước khi xử lý. Nói cách khác, có vẻ như đã có sự không nhất quán giữa những gì đã được xác thực và những gì thực sự đã được thực thi.

Các vụ việc tương tự khác

Thời điểm này khá thú vị vì Raydium cũng đã phát hiện ra một lỗi mã trong chương trình AMM V3 cũ của họ khiến 1,34 triệu đô la tiền mã hóa bị đánh cắp từ năm pool.

Trong khi đó, một cuộc tấn công chiếm quyền kiểm soát quản trị khác đã khiến kẻ khai thác trộm khoảng 1,5 triệu đô la Ethereum từ một pool thanh khoản của Balancer.

Một lỗ hổng khai thác mới nhắm vào Ethereum’s Alephium TokenBridge cũng đã được phát hiện gần đây. Trong vụ khai thác này, 815.000 đô la đã bị rút sạch trong vòng bảy phút bằng cách sử dụng ba trong bốn chìa khóa guardian bị xâm phạm đã ký các VAAs giả mạo (Xác nhận hành động đã được xác minh).

Tương tự, theo cuộc điều tra độc lập của Quantstamp, Humanity Protocol đã liên kết một cuộc tấn công lừa đảo có mục tiêu vào một trong các giám đốc của họ với việc kẻ tấn công đã chiếm quyền quản trị, nâng cấp hợp đồng, chuyển token Ethereum, và tạo ra các token H mới trên chuỗi BNB.

Tổng giá trị bị hack (USD) đã lên tới 81,73 triệu đô la trong 30 ngày, theo dữ liệu của DeFiLlama. Trong năm 2026, đã mất tới 634,85 triệu đô la, tháng 4 là tháng có giá trị bị rút lớn nhất cho đến nay.

Nguồn: DeFiLlama

Tóm tắt cuối cùng

• Lỗi dường như đã xảy ra do việc xác thực chưa đầy đủ của _proofData.
• Tình huống này là phần mới nhất trong chuỗi các sự cố về an ninh DeFi.