Застарілий смартконтракт у L2-мережі Aztec зазнав зламу на $2 млн

18 червня хакер зламав невикористовуваний смартконтракт у L2-мережі Aztec. За попередніми оцінками, збитки становлять близько $2,15 млн.

Ми розслідуємо потенційний експлойт, що зачіпає застарілий платіжний продукт Aztec з 2021 року. ~$2 млн було переказано з незмінного смартконтракту в транзакції:https://t.co/FS4JoNnfiJ

Застарілий продукт — це незмінний ролап другого етапу, який було згорнуто у 2022 році.…

— Aztec Labs (@AztecLabs_) June 18, 2026

Першими на інцидент звернули увагу аналітики CertiK, згодом атаку підтвердила команда розробників Aztec Labs.

Уразливість містилася в застарілому платіжному продукті Aztec Payments, який закрили у 2022 році. Інцидент не зачепив користувачів та активи в актуальній мережі проєкту.

За даними дослідників, хакер скористався уразливістю в логіці перевірки доказів смартконтракту PrivateRollupBridge. На реалізацію атаки зловмисник витратив 0,134 ETH (~$230).

Загалом йому вдалося вивести 1158 ETH, 150 000 DAI і 0,47 renBTC.

Для Aztec це вже не перший інцидент безпеки за останні кілька днів. 14 червня невідомі спорожнили інший застарілий контракт маршрутизатора майже на $2,19 млн.

Представники Aztec Labs зазначили, що не володіють адміністративними ключами і не контролюють систему. Через це команда не може заморозити контракти або випустити оновлення для запобігання атаці.

Нагадаємо, 8 червня хакери скомпрометували гаманці, пов’язані з проєктом Humanity Protocol. Збитки оцінили приблизно в $31 млн.