18 июня хакер взломал неиспользуемый смарт-контракт в L2-сети Aztec. По предварительной оценке, сумма ущерба составляет около $2,15 млн.
We are investigating a potential exploit affecting a deprecated Aztec payments product from 2021. ~$2m was transferred from the immutable smart contract in transaction:https://t.co/FS4JoNnfiJThe deprecated product is an immutable stage 2 rollup that was sunset in 2022.…— Aztec Labs (@AztecLabs_) June 18, 2026
Первыми на инцидент обратили внимание аналитики CertiK, затем атаку подтвердила команда разработчиков Aztec Labs.
Уязвимость находилась в устаревшем платежном продукте Aztec Payments, который закрыли в 2022 году. Инцидент не затронул пользователей и активы в актуальной сети проекта.
По данным исследователей, хакер воспользовался уязвимостью в логике проверки доказательств смарт-контракта PrivateRollupBridge. На реализацию атаки злоумышленник потратил 0,134 ETH (~$230).
В общей сложности ему удалось вывести 1158 ETH, 150 000 DAI и 0,47 renBTC.
Для Aztec это уже не первый инцидент безопасности за последние несколько дней. 14 июня неизвестные опустошили другой устаревший контракт маршрутизатора почти на $2,19 млн.
Представители Aztec Labs отметили, что не владеют административными ключами и не контролируют систему. Из-за этого команда не может заморозить контракты или выпустить обновление для предотвращения атаки.
Напомним, 8 июня хакеры скомпрометировали кошельки, связанные с проектом Humanity Protocol. Ущерб оценили примерно в $31 млн.
