Aztec 已停用的旧基础设施在三天内连续遭遇两次攻击，累计损失超过 400 万美元。受影响的是数年前退役的合约系统，而非当前 Aztec 网络本身。Aztec 方面表示，现行网络相关智能合约和 AZTEC ERC20 代币没有受到波及。

首次攻击损失约210万美元

第一起事件发生在 6 月 14 日，目标是已退役的隐私桥接协议 Aztec Connect。虽然该产品早已停止使用，但链上合约内仍留有部分资金。

攻击者从中转出约 210 万美元资产，包括约 909 枚 ETH、27 万枚 DAI 和 167 枚 wstETH，以及少量其他代币。问题出在 rollup 证明验证环节。攻击者利用验证逻辑缺陷，让无效或被篡改的证明通过检查，进而触发未经授权的提款。

Aztec Connect 合约在部署时被设计为不可变更。这意味着合约一旦上线，后续无法暂停，也无法修补。用户此前虽被提醒在产品关闭前提取资金，但残留流动性最终仍成为攻击目标。

第二起攻击再损失约215万美元

三天后，另一套旧系统 Private Rollup Bridge 再次遭到利用。该合约同样属于 Aztec 早期基础设施，在旧版 rollup 架构退场后已被弃用。

这次攻击者转出约 1,158 枚 ETH，按事发时价格计算接近 215 万美元。执行方式与前一次不同，但技术根源相近。攻击者利用桥接设计中的“逃生出口”机制，提交特制的零知识证明，错误触发合约退出流程，随后一次性提走流动性。

报道指出，这两起事件都不是私钥泄露，也不是常见的重入攻击。问题更集中在旧版 rollup 系统中，零知识证明验证与链上结算之间的衔接缺陷。

Aztec称当前网络未受影响

两起事件发生后，Aztec Labs 和 Aztec Foundation 表示，受影响产品都已在数年前停用，与当前 Aztec 网络及 AZTEC 代币生态没有关联。两份旧合约也都无法升级、暂停或由团队接管，因为它们在部署时就被设定为不可修改。

安全公司 CertiK 也对 Private Rollup Bridge 事件发出预警，并标记了攻击者地址和相关以太坊交易。多方分析基本一致，认为漏洞主要来自零知识证明验证设计，而不是传统智能合约编码错误。

这两起攻击虽然发生时间接近，也都涉及证明验证缺陷，但 Aztec 方面称它们是彼此独立的事件。此次连续失窃也再次凸显，已经退役但仍保留链上资金的旧 DeFi 合约，依然可能在多年后成为攻击入口。