サービス終了後の旧コントラクトが攻撃対象に
既に廃止されたDeFi(分散型金融)プラットフォーム「Aztec Connect(アズテック・コネクト)」が攻撃を受け、約210万ドル(約3.3億円)相当の仮想通貨が流出した。
今回の事例では、サービス終了後も残存していたスマートコントラクトの脆弱性が悪用されており、古いDeFiインフラが抱えるリスクが改めて浮き彫りとなった。Aztec Labs(アズテックラボ)によると、2026年6月14日(日曜日)、Aztec Connectのスマートコントラクトから資金が流出したと報告された。同社は調査を開始し、このインシデントは旧Aztec Connectのみに影響し、現行のAztec Network(アズテックネットワーク)のユーザー、資金、資産や、AZTEC ERC-20トークンには影響しないと説明している。
ブロックチェーンセキュリティ企業BlockSec(ブロックセック)は、攻撃者がプラットフォームのトランザクション検証プロセスにおける欠陥を悪用したと報告した。具体的には、ゼロ知識証明によるトランザクションの検証方法と、イーサリアム上での最終的な解釈および決済方法との間に不一致があったという。
またCertiK(サーティック)は、今回の脆弱性について、提出された証明データの検証が不完全だったことに起因している可能性があると指摘した。同社によると、あるコントラクト機能は証明データの冒頭部分のみを検証し、データ内の他のカ所に埋め込まれたトークン転送指示が適切にチェックされていなかった可能性があるという。
この欠陥により、攻撃者は裏付けのない残高を作成し、正当な資産として引き出すことが可能になった。攻撃は7回の取引を通じて実行され、909 ETH、27万DAI、167ラップドステーキングETHなどが流出した。被害総額は約210万ドルに上るとされている。
古いDeFiコントラクトが抱えるリスクとは
Aztec Connectは、Aztecのゼロ知識ロールアップ技術を活用したプライバシー重視のDeFiブリッジとして提供されていたが、開発チームが次世代のAztec Networkへ注力するため、2023年3月に廃止された。
しかし、スマートコントラクト自体はブロックチェーン上に残り続ける。今回問題となったコントラクトは不変(Immutable)な設計となっており、Aztec Labsは管理者キーや制御権限を持たないため、一時停止やアップグレード、修正などの対応を行うことができないという。
DeFiでは不変性が利用者の信頼性向上につながる一方で、脆弱性が発見された際の対応手段を制限するという課題もある。今回の事例は、サービス終了後であっても資金が残る古いコントラクトが攻撃対象となり得ることを示した。
ソースでは、プロトコルの終了時には利用者への継続的な警告や資金引き出しの促進、リスク情報の周知などが必要だと指摘されている。今回のインシデントは、DeFiにおけるシステム停止後のリスク管理の重要性を改めて示す事例となった。
