Aztecで1週間足らずの間に2度目の資金流出が発生
プライバシー重視のイーサリアム(Ethereum)レイヤー2プロジェクトであるAztec(アステカ)で、廃止済みインフラを狙ったハッキング被害が再び発生した。
被害額は215万~216万ドル(約3.5億円)相当に上り、数日前に発生したAztec Connectへの攻撃に続く事案となった。
廃止済みブリッジから約215万ドルが流出
今回の被害は、Aztecの廃止済みプライベートロールアップブリッジを標的としたものだ。
セキュリティ企業PeckShield(ペックシールド)やSlowMist(スローミスト)の共同創設者であるCos氏は、不審な取引を確認したと報告している。流出した資産は1,158 ETH、150,000 DAI、約0.46~0.47 renBTCで、被害総額は約215万~216万ドルとみられている。
報告によると、攻撃者は偽造されたロールアップ証明を利用し、プロトコルの準備金から資産を引き出した可能性があるという。PeckShieldは、攻撃者のアドレスに対し、事前に仮想通貨取引所HitBTCから0.134 ETHが送金されていたことも確認している。
Aztec Labsは、この問題が2022年に廃止された決済製品に関連するスマートコントラクトで発生したことを認めた。同社によれば、対象となったコントラクトは変更や停止ができない不変の仕組みとして運用されており、チームは管理権限やアップグレード権限を保有していないという。
相次ぐ被害で旧スマートコントラクトのリスクが浮上
今回の事件は、6月中旬に発生したAztec Connectへの攻撃に続くものだ。前回の被害では約210万~219万(約3.4兆円~3.5兆円)ドル相当の資産が流出しており、1週間足らずの間に2件の大規模なハッキングが確認されたことになる。
Aztec Connectはプライバシー保護を目的としたロールアップサービスで、2023年にサービス終了となった。Aztec Labsは2024年、オンチェーン上の管理権限やアップグレード権限を放棄しており、脆弱性が発見された場合でも修正や停止を行うことができない状態となっていた。また、Aztec Foundationは、問題となった製品について数年前に廃止されたシステムであり、現在は管理権限を保持していないと説明している。
今回の事例は、運用終了後もオンチェーン上に残り続ける旧スマートコントラクトのリスクを改めて浮き彫りにした。セキュリティ研究者らは、開発チームによる保守が終了したコントラクトであっても、多額の資産が残存している場合には攻撃対象となる可能性があると指摘している。
