DeFi 的「殭屍合約」夢魘:Aztec Connect 已棄用合約遭駭,損失逾 219 萬美元
編輯核心觀點
- ✦區塊鏈安全公司慢霧(SlowMist)指出,已棄用的 Aztec Connect 智慧合約遭駭客攻擊,損失約 219 萬美元的資產。
- ✦此次攻擊源於合約中處理交易計數與解碼槽位(decoded slots)的邊界漏洞,即便產品已停止營運,鏈上合約仍具備被攻擊的風險。
- ✦此事件凸顯 DeFi 領域「殭屍合約」的資安隱憂,即便開發團隊已轉移重心,未關閉或無法暫停的舊合約仍是駭客眼中的攻擊目標。

已棄用的舊合約,仍是駭客眼中的肥羊
根據區塊鏈安全公司慢霧(SlowMist)發布的分析報告,隱私協議 Aztec Connect 的舊版 RollupProcessorV3 智慧合約遭到駭客攻擊,導致約 219 萬美元的資產損失,受影響的幣種包括以太幣(ETH)、DAI 以及 wstETH。
這起事件揭露了 DeFi 生態中一個常被忽視的風險:當協議停止營運或棄用後,鏈上的智慧合約並不會自動消失。只要合約仍處於部署狀態、可被呼叫,且內部仍留有資金或具備資產存取權,它就依然是駭客的攻擊目標。
漏洞解析:交易計數與解碼槽位的邊界缺陷
慢霧在分析中指出,攻擊者利用了該合約解碼器(decoder)中,關於「交易計數」與「解碼槽位」之間關係的邊界漏洞。簡單來說,駭客透過操縱合約處理特定編碼交易數據的方式,成功繞過安全機制並將資產轉移。
由於 Aztec Connect 協議早已被棄用,該合約無法像活躍的系統那樣進行暫停或緊急修復。這凸顯了「不可變性(immutability)」在區塊鏈架構中的雙面刃特性——雖然確保了透明與永久性,但當舊系統出現漏洞時,開發者往往缺乏升級、暫停或修補的能力。
給開發者與用戶的警示
這起攻擊並非源於某個新興協議在高負載下的崩潰,而是來自於一個早已被市場遺忘的「殭屍合約」。對於 DeFi 用戶而言,這是一個明確的教訓:即便協議本身曾擁有良好聲譽,存放在舊合約中的資金仍面臨極高風險。舊基礎設施通常缺乏活躍協議所具備的監控機制、流動性管理或緊急應變措施。
對於開發者而言,此事件強調了「退場計畫(shutdown planning)」的重要性。棄用協議的流程應包含明確的用戶遷移指引、流動性撤回機制、對殘留合約的持續監控,以及針對剩餘風險的公開溝通。
在加密貨幣領域,基礎設施即便處於「非活躍」狀態,其帶來的安全風險依然是「活躍」的。



