Der dezentrale Finanzsektor (DeFi) erhielt eine weitere ernüchternde Erinnerung an die anhaltenden Risiken verlassener Smart Contracts, als ein Angreifer erfolgreich 2,1 Millionen Dollar aus Aztec Connect abzog, einem datenschutzorientierten Protokoll, das vor drei Jahren eingestellt wurde. Der Exploit, der am 14. Juni ausgeführt wurde, zeigt, wie veraltete Blockchain-Infrastruktur lange nach der Beendigung von Projekten anfällig bleiben kann.

Das Blockchain-Sicherheitsunternehmen CertiK identifizierte die verdächtige Transaktion und machte auf der Social-Media-Plattform X darauf aufmerksam. Es wurde offenbart, dass der Angreifer einen grundlegenden Fehler in der Proof-Verifikationslogik der Plattform ausnutzte. Die Sicherheitslücke lag in der unvollständigen Validierung eingereichteter Proofs, was es dem böswilligen Akteur ermöglichte, die Sicherheitsmechanismen des Kernsystems zu manipulieren und Mittel zu extrahieren, die in den Smart Contracts des Protokolls gesperrt waren.

Aztec Connect war ursprünglich als Datenschicht für Ethereum konzipiert und ermöglichte es Benutzern, private Transaktionen durchzuführen, während Kompatibilität mit bestehenden DeFi-Protokollen gewahrt blieb. Die Plattform nutzte Zero-Knowledge-Proofs, um Transaktionsdetails zu verschleiern und gleichzeitig die Interaktion mit populären Anwendungen wie Uniswap und Aave zu ermöglichen. Die Entwickler des Projekts kündigten 2023 jedoch die Abschaltung an und hinterließen Smart Contracts und Benutzergelder in einem veralteten Zustand ohne aktive Wartung oder Sicherheitsüberwachung.

Der Exploit beleuchtet eine kritische Schwäche bei der Verwaltung von Projektlebenszyklen und Smart-Contract-Stilllegung im DeFi-Ökosystem. Anders als traditionelle Finanzdienstleistungen, die sauber heruntergefahren und deren Vermögenswerte redistributioniert werden können, lässt Blockchain-basierte Protokolle häufig unveränderlichen Code unbegrenzt laufen. Diese „Zombie-Contracts" können Millionen Dollar in gesperrten Vermögenswerten enthalten, während ihnen die Sicherheitsüberwachung und Bug-Fixes fehlen, die aktive Projekte typischerweise erhalten.

Die Methode des Angreifers bestand darin, das Proof-Verifikationssystem zu manipulieren, das Aztec Connect zur Validierung privater Transaktionen verwendete. Durch das Einreichen fehlerhafter oder unvollständiger Proofs, die die fehlerhafte Validierungslogik passierten, konnte der Exploiter den Smart Contract davon überzeugen, Mittel freizugeben, ohne die richtigen kryptographischen Anforderungen zu erfüllen. Diese Art von Validierungsumgehung stellt eine der gefährlichsten Kategorien von Smart-Contract-Sicherheitslücken dar, da sie die grundlegenden Vertrauensannahmen des gesamten Systems untergräbt.

Experten der Branche im Bereich Sicherheit haben lange vor den Risiken veralteter DeFi-Protokolle gewarnt. Viele Projekte starten mit großem Tamtam und hoher Benutzeradoption und sammeln erhebliche TVL an, verfügen jedoch nicht über umfassende Abschaltsverfahren bei Betriebsbeendigung. Der Aztec-Connect-Vorfall unterstreicht die Notwendigkeit besserer Industriestandards rund um die Projektbeendigung, einschließlich obligatorischer Sicherheitsaudits vor der Abschaltung und klarer Zeitpläne für die Contract-Veraltung.

Der Verlust von 2,1 Millionen Dollar wirft auch Fragen zur Benutzerverhalten und Risikobewertung in DeFi auf. Obwohl Aztec Connect vor drei Jahren eingestellt wurde, verblieben erhebliche Mittel in den Protokoll-Contracts, was darauf hindeutet, dass Benutzer entweder von der Betriebseinstellung nicht wussten oder ihre Vermögenswerte nicht abheben konnten. Dieses Muster ist häufiger geworden, da der DeFi-Raum reift und frühe experimentelle Projekte eingestellt werden.

Für das breitere Ökosystem dient dieser Exploit als entscheidende Erinnerung daran, dass Smart-Contract-Sicherheit weit über die Start- und Betriebsphasen hinausgeht. Während mehr DeFi-Protokolle die End-of-Life-Status erreichen, muss die Industrie robuste Rahmenbedingungen für die sichere Außerbetriebnahme von Smart Contracts und den Schutz von Benutzergeldern während Übergangszeiträumen entwickeln. Die Alternative – Millionen Dollar in verlassenem Code zu belassen – schafft ein attraktives Ziel für raffinierte Angreifer, die bereit sind, veraltete Systeme auszunutzen.

Verfasst vom Redaktionsteam — unabhängigen Journalismus powered by Bitcoin News.