在加密资产领域备受瞩目的、注重隐私的L2(第二层,用于减轻主链负担的技术)项目“Aztec”,在短短一周内第二次遭遇了价值210万美元(约合3亿2000万日元)的资金外流事件。正如安全研究机构SlowMist所指出的,这一事件凸显了这样一个风险:即使项目停止维护后,旧版智能合约(在区块链上自动执行的合约程序)仍可能持续存在潜在漏洞(系统或软件的弱点)。
此次攻击的目标是Aztec过去部署(将程序部署到区块链上)的、现已不再使用的智能合约。即使项目已迁移至新版本并终止了对旧合约的支持,只要这些合约仍存在于区块链上,就可能成为恶意攻击者的理想目标。特别是,安全专家们警告称,当未来发现此类“被遗弃”合约的新漏洞时,它们将成为巨大的风险因素。
究竟发生了什么?这一事件又给整个加密资产生态系统带来了怎样的教训?本文将深入剖析Aztec案例,并从专家视角解读智能合约生命周期中安全性的重要性。这不仅是关注加密资产安全性的用户必须了解的重要议题,对于从事区块链技术的开发者而言同样至关重要。这一问题已不仅限于单个项目,更可视为关乎整个行业可信度的紧迫课题。
Aztec,接连发生的资金外流事件
注重隐私保护的L2项目“Aztec”最近接连遭遇资金外流事件。
短短一周内,已确认发生了第二次漏洞利用(利用系统漏洞进行的攻击)。
据报道,损失总额高达210万美元,折合日元约3亿2000万。
这一系列事件给加密资产社区带来了巨大冲击。
尤其再次凸显了安全措施的重要性。
Aztec以其支持私密交易的技术而闻名。
然而,其技术基础的安全性如今却受到了质疑。
旧版智能合约成为攻击目标
此次资金外流事件的攻击目标,正是Aztec此前部署(将程序部署到区块链上)的智能合约。
这些合约被视为“过时”的,目前已不再使用。
项目方此前已迁移至新版本的合约。
旧版合约已不再受到积极维护。
然而,一旦部署到区块链上的合约就无法删除。
因此,即使不再使用,它们仍会继续存在。
据认为,正是这一特性导致了此次损失。
SlowMist警告的潜在风险
安全研究机构SlowMist对此问题发出了强烈警告。
他们指出了项目停止维护的智能合约所存在的危险。
他们表示:“被废弃的智能合约,即使项目停止维护后,仍可能长期存在安全漏洞。”
这揭示了整个加密资产生态系统所面临的挑战。
向新技术过渡固然重要,但对旧资产的管理同样重要。
过往的合约可能成为未来安全风险的温床。
这一警告对开发者而言意义重大。
[来源:原文]
智能合约的生命周期与责任
智能合约拥有从部署、运行到最终废止的完整生命周期。
然而,由于区块链的不可变性,物理层面的“废止”十分困难。
因此,项目方需要考虑如何处理已停止使用的合约。
例如,可以考虑实施严格的访问权限管理或资金提取限制等措施。
停止维护的合约往往不会成为安全审计(由专家验证是否存在安全漏洞)的对象。
这可能会导致新的漏洞被忽视。
开发者需要从合约的“生命周期”角度进行设计。
此外,后续的风险管理计划也必不可少。
对开发者的安全措施要求
此次Aztec事件为开发者社区提供了重要教训。
首先,即使是旧版合约,认识到其存在的风险也至关重要。
其次,应制定针对停用后合约的明确政策。
例如,建立机制以尽早促使用户迁移,确保合约中不留存资金,这将是一个有效的措施。
此外,定期的安全审计应在部署后持续进行。
特别是对于重要合约,最好由多个独立机构进行审计。
此外,为应对突发事件,制定快速响应计划(事件响应)也是必不可少的。
这些都是维持项目可信度不可或缺的要素。
用户应采取的预防措施
另一方面,加密资产的用户也应具备自我防护意识。
请随时收集有关所使用项目安全措施的信息。
特别是当项目宣布将推出新功能或进行版本升级时,更需格外注意。
请尽快完成迁移,避免资金长期滞留在旧合约中。
此外,请养成随时核对项目官方信息来源的习惯。
切勿点击可疑链接或消息。
“自己的资产要自己保护”这一意识至关重要。
这可以说是加密资产投资的基本心态。
整个加密资产生态系统的挑战
Aztec的案例不仅仅局限于单个项目的问题。
它揭示了整个加密资产生态系统所面临的结构性问题。
区块链的不可篡改性这一特性,既是优势,同时也伴随着风险。
因为一旦部署的代码,就非常难以修改。
因此,在初期阶段进行严格的设计和审计至关重要。
此外,整个行业共享安全方面的最佳实践也至关重要。
人们也期待监管机构针对此类风险制定更明确的指导方针。
确保安全是加密资产健康发展的首要任务。
[来源:原文]
相关文章
※ 本公司是 RedotPay 在日本的正式代理商