Der dezentralisierte Finanzsektor (DeFi) erhielt eine weitere deutliche Mahnung über die anhaltenden Risiken verlassener Smart Contracts, als ein Angreifer erfolgreich 2,1 Millionen Dollar aus Aztec Connect, einem datenschutzorientierten Protokoll, das vor drei Jahren eingestellt wurde, abzog. Der Exploit, der am 14. Juni ausgeführt wurde, zeigt, wie veraltete Blockchain-Infrastruktur lange nach der Beendigung von Projekten anfällig bleiben kann.

Das Blockchain-Sicherheitsunternehmen CertiK identifizierte die verdächtige Transaktion und flaggte sie auf der Social-Media-Plattform X, wobei es offenlegte, dass der Angreifer einen grundlegenden Fehler in der Proof-Verifizierungslogik der Plattform ausnutzte. Die Anfälligkeit konzentrierte sich auf die unvollständige Validierung eingereichte Proofs, die es dem böswilligen Akteur ermöglichte, die Kernmechanismen der Systemsicherheit zu manipulieren und Mittel zu extrahieren, die in den Smart Contracts des Protokolls gesperrt waren.

Aztec Connect funktionierte ursprünglich als Datenschutzschicht für Ethereum und ermöglichte Benutzern, private Transaktionen durchzuführen und dabei die Kompatibilität mit bestehenden DeFi-Protokollen zu bewahren. Die Plattform nutzte Zero-Knowledge Proofs, um Transaktionsdetails zu verschleiern und gleichzeitig die Möglichkeit zu bewahren, mit beliebten Anwendungen wie Uniswap und Aave zu interagieren. Die Entwickler des Projekts kündigten jedoch die Abschaltung 2023 an, wodurch Smart Contracts und Benutzergelder in einem veralteten Zustand ohne aktive Wartung oder Sicherheitsüberwachung zurückblieben.

Der Exploit verdeutlicht eine kritische Schwachstelle bei der Art und Weise, wie das DeFi-Ökosystem Projektlebenszyklen und die Stilllegung von Smart Contracts handhabt. Im Gegensatz zu traditionellen Finanzdienstleistungen, die sauber heruntergefahren und Vermögenswerte umverteilt werden können, lassen Blockchain-basierte Protokolle häufig unveränderlichen Code auf unbestimmte Zeit laufen. Diese „Zombie-Contracts" können Millionen von Dollar in gesperrten Vermögenswerten enthalten, während ihnen die Sicherheitsüberwachung und Fehlerbehebungen fehlen, die aktive Projekte typischerweise erhalten.

Die Methode des Angreifers bestand darin, das Proof-Verifizierungssystem zu manipulieren, das Aztec Connect zur Validierung privater Transaktionen verwendete. Durch das Einreichen fehlgeformter oder unvollständiger Proofs, die die fehlerhafte Validierungslogik passierten, könnte der Exploiter den Smart Contract dazu bringen, Mittel freizugeben, ohne die ordnungsgemäßen kryptografischen Anforderungen zu erfüllen. Diese Art von Validierungs-Bypass stellt eine der gefährlichsten Kategorien von Smart-Contract-Anfälligkeiten dar, da sie die grundlegenden Vertrauensannahmen des gesamten Systems untergräbt.

Branchensicherheitsexperten haben lange vor den Risiken veralteter DeFi-Protokolle gewarnt. Viele Projekte werden mit großem Tamtam und Benutzerakzeptanz gestartet und sammeln erhebliche Total Value Locked (TVL) an, verfügen aber über keine umfassenden Abschaltungsverfahren, wenn der Betrieb eingestellt wird. Der Aztec-Connect-Vorfall unterstreicht die Notwendigkeit besserer Industriestandards bei der Projektbeendigung, einschließlich obligatorischer Sicherheitsprüfungen vor der Abschaltung und klarer Zeitpläne für die Vertragsdeprecation.

Der Verlust von 2,1 Millionen Dollar wirft auch Fragen zum Benutzerverhalten und zur Risikobewertung in DeFi auf. Trotz der Abschaltung von Aztec Connect vor drei Jahren blieben erhebliche Mittel in den Protokollverträgen, was darauf hindeutet, dass Benutzer entweder nicht über die Einstellung des Betriebs informiert waren oder ihre Vermögenswerte nicht abheben konnten. Dieses Muster ist häufiger geworden, da der DeFi-Raum reift und frühe experimentelle Projekte den Betrieb einstellen.

Für das breitere Ökosystem dient dieser Exploit als wichtige Erinnerung daran, dass sich die Smart-Contract-Sicherheit weit über die Phasen des Starts und des aktiven Betriebs hinaus erstreckt. Da mehr DeFi-Protokolle das Ende ihrer Lebensdauer erreichen, muss die Branche robuste Frameworks zum sicheren Außerbetriebsetzen von Smart Contracts und zum Schutz von Benutzergeldern während Übergangsphasen entwickeln. Die Alternative – Millionen von Dollar in verlassenem Code zu hinterlassen – schafft ein attraktives Ziel für anspruchsvolle Angreifer, die bereit sind, veraltete Systeme auszunutzen.

Geschrieben vom Redaktionsteam — unabhängiger Journalismus von Bitcoin News.