一個微小的驗證漏洞，造成了 219 萬美元的資金流失——Aztec Network 發生了什麼問題？

Aztec Network 的路由器合約因在以太坊 [ETH] 區塊鏈上被發現一筆可疑交易而登上新聞。這導致約價值 219 萬美元的資產損失。

事實上，用於執行該交易的錢包地址“0x0f18….edd17”使用了協議的路由器合約中的資金。

這次攻擊被認為是可疑的根據 CertiK 的說法，這次攻擊“可疑”是因為攻擊者可能利用了智能合約中的弱點，獲取未經授權的協議資金，或篡改合約邏輯以抽取資產。

一個可能的智能合約驗證缺陷

然而，一些線索確實暗示該協議在智能合約驗證過程中對證明數據的處理存在缺陷。問題特別出現在 computeRootHashes() 函數上，該函數負責確認提供的 _proofData 的合法性，但僅檢查了其前部。

儘管如此，同一個 _proofData 負載的中間部分包含了 processDepositsAndWithdrawals() 後續用來執行代幣轉移的數據。

因此，攻擊者可能創建了一個惡意證明，其中未經驗證的中間部分包含被操控的存款或提款指令，而已驗證的部分仍然有效並通過了協議的安全檢查。

就此而言，合約最終在處理這些指令時進行了未經妥善驗證的未授權代幣轉移。簡而言之，似乎存在驗證內容與實際執行內容之間的差異。

更多類似事件

這裡的時間點很有趣，因為 Raydium 也在其舊版 AMM V3 程式中發現了一個程式碼錯誤，導致價值 134 萬美元的加密貨幣被盜，涉及五個流動性池。

同時，另一場治理接管攻擊中，攻擊者從 Balancer 流動性池中盜取了約 150 萬美元的以太坊。

最近還發現了一個針對以太坊的 Alephium TokenBridge 的新漏洞。在此漏洞中，攻擊者在七分鐘內用三個被破壞的守護者密鑰簽署的偽造 VAA（驗證操作批准），抽走了 81.5 萬美元。

類似地，根據獨立的 Quantstamp 調查，Humanity Protocol 將針對其一位董事的釣魚攻擊與攻擊者獲取管理員憑證、合約升級、以太坊代幣轉移以及在 BNB Chain 上創建新 H 代幣的行為聯繫起來。

總體而言，根據 DeFiLlama 的數據，30 天內被盜的總價值（美元）已達 8173 萬美元。僅在 2026 年就損失了 6.3485 億美元，四月是迄今為止資金被抽走最多的月份。

來源：DeFiLlama

最終總結

• 這次缺陷似乎是由 _proofData 不完整的驗證造成的。
• 這一事件是近期一連串 DeFi 安全漏洞中的最新一例。