Aztec旧平台遭攻击损失210万美元

2026-06-15

一场发生在“已退役系统”上的安全事故，再次提醒加密行业：旧代码并不会因为停止运营就自动失去风险。

近日，去中心化金融平台Aztec Connect曝出约210万美元资产被盗事件。根据Aztec Labs与区块链安全机构BlockSec披露的信息，攻击者利用交易验证流程中的逻辑缺陷，在系统内部创建了实际上并不存在的资产余额，并最终完成提取。整个攻击过程涉及七笔交易，共盗走909枚ETH、27万枚DAI、167枚包装质押以太坊（wstETH）以及其他数字资产。

从技术层面来看，这并非传统意义上的私钥泄露或合约权限被盗，而是一类更复杂的验证逻辑漏洞。

攻击者成功利用了证明验证环节与实际结算逻辑之间的偏差。简单理解，系统认为某些交易已经满足验证条件，但在资产结算时却没有正确对应和扣减相关余额。结果就是，攻击者能够“凭空”生成未被真实资产支持的账户余额，再通过正常提现流程将这些余额兑换成真实资产带走。

这类问题在近年来的Layer2和零知识证明（ZK）项目中尤其受到关注。

随着区块链扩容技术不断演进，系统架构变得越来越复杂。过去一笔交易只需要验证账户余额和签名，如今还涉及证明生成、状态同步、跨层结算等多个环节。任何一个环节出现逻辑不一致，都可能成为攻击入口。

某种程度上，这也是零知识证明生态面临的成长代价。

Aztec长期被视为隐私赛道的重要项目之一，其核心方向是将零知识证明技术应用于链上隐私交易和隐私智能合约。过去几年，无论是Aztec、Starknet还是zkSync，都试图在以太坊生态中建立更高效、更隐私的基础设施。

技术创新带来了新的能力，也增加了系统复杂度。相比传统DeFi协议，ZK系统往往需要同时验证数学证明和链上状态，这意味着审计难度、开发成本以及潜在风险都会同步提升。

对于Aztec来说，此次事件的影响相对有限。

官方强调，遭受攻击的是已经停用的Aztec Connect旧平台，而当前运行中的Aztec Network及用户资产并未受到影响。从资产规模来看，210万美元的损失对于整个加密市场并不算特别巨大，但事件背后暴露的问题却值得行业关注。

过去几年，加密行业经历过多起类似案例。无论是跨链桥漏洞、Layer2验证缺陷，还是DeFi协议中的会计逻辑错误，很多损失并非来自黑客破解密码，而是来自代码对业务规则的错误表达。

换句话说，最大的风险往往不是系统不会运行，而是系统按照错误的方式运行。

对于开发者而言，这意味着安全审计不能只关注代码本身是否存在漏洞，还需要验证系统设计逻辑是否闭环。尤其是在零知识证明、模块化区块链和链上隐私等新兴领域，验证路径与结算路径的一致性正成为新的安全重点。