一个微小的验证漏洞，造成了219万美元的损失——Aztec Network 出了什么问题？

Aztec Network的路由合约因在以太坊[ETH]区块链上被发现一笔可疑交易而成为新闻焦点。这导致价值约219万美元的资产丢失。

实际上，钱包地址“0x0f18….edd17”使用了协议的路由合约中的资金进行了这笔交易。

这次攻击被认为是可疑的根据CertiK的说法，这次攻击“可疑”因为攻击者可能利用了智能合约中的漏洞，获得了未授权的协议资金，或篡改了合约的逻辑以抽取资产。

一个可能的智能合约验证缺陷

然而，一些线索确实表明协议在验证证明数据的处理上存在缺陷。问题特别出在computeRootHashes()函数上，该函数负责确认提供的_proofData的合法性，但只检查了其前部。

尽管如此，同一*_proofData载荷的中间部分包含了processDepositsAndWithdrawals()*随后用来执行代币转账的数据。

因此，攻击者可能创建了一个恶意证明，其中未验证的中间部分包含被操控的存款或提款指令，而已验证的部分仍然有效并通过了协议的安全检查。

就此而言，合约最终执行了未授权的代币转账，因为这些指令在处理前未被正确验证。简而言之，验证内容与实际执行内容之间似乎存在差异。

更多类似事件

时间点很有趣，因为Raydium也在其旧的AMM V3程序中发现了编码错误，导致价值134万美元的加密货币被盗自五个流动池。

与此同时，另一场治理接管攻击中，攻击者从Balancer的一个流动性池中盗取了约150万美元的以太坊。

最近还发现了一起针对以太坊的Alephium TokenBridge的漏洞。在此漏洞中，攻击者在七分钟内用三把被攻破的守护钥匙签署伪造的VAA（验证操作批准），成功窃取了81.5万美元。

类似地，根据独立的Quantstamp调查，Humanity Protocol将一次针对其一位董事的钓鱼攻击与攻击者获取管理权限、升级合约、转移以太坊代币以及在BNB链上创建新H代币联系起来。

总体而言，根据DeFiLlama的数据，30天内被盗的总价值（美元）已达8173万美元。仅在2026年就损失了6.3485亿美元，四月的资金流失最高。

来源：DeFiLlama

最终总结

• 这个缺陷似乎是由_proofData验证不完整引起的。
• 这一事件是近期一系列DeFi安全漏洞中的最新一例。