Hackere stjæler glemte smarte kontrakter: 17 millioner dollars stjålet på bare 40 dage

I stedet for at målrette nye, velbeskyttede protokoller angriber hackere i stigende grad gamle, forældede smarte kontrakter, som alle har glemt. I løbet af de sidste 40 dage (fra 7. maj til 15. juni 2026) har angribere udvundet næsten 17 millioner dollars fra kontrakter, der blev betragtet som forældede, men som forblev aktive på kæden med reel økonomisk værdi.

Dette er ikke en række isolerede hændelser – det er en tydelig, fremadstormende tendens. Forældede kontrakter fortsætter med at indeholde midler, tilladelser, godkendelser eller operationel myndighed længe efter, at teams er stoppet med at vedligeholde eller overvåge dem.

Specifikke hændelser i løbet af de sidste 40 dage

Her er de fem offentligt dokumenterede sager, der udgør dette samlede beløb på ~17 millioner dollars:

TrustedVolumes (Ethereum)

TrustedVolumes, en likviditetsudbyder og market maker/resolver brugt af 1inch Fusion, blev drænet af en sårbarhed i sin brugerdefinerede RFQ swap proxy. Angriberen omgik en autorisationsgrænse og fik adgang til en kodesti, der aldrig burde have været tilgængelig for en ikke-tillidsfuld opkalder.

De stjålne midler omfattede WETH, USDT, WBTC og USDC. De stjålne aktiver blev senere hvidvasket via Tornado Cash og andre mixere. 1inch præciserede, at dens kerneprotokol ikke var påvirket.

Huma Finance V1 Puljer (Polygon)

Angribere udnyttede en logisk fejl i kreditlivscyklusstyringen af forældede V1 BaseCreditPool-kontrakter. De udførte uautoriserede kredittrækninger, hvilket drænede cirka 82.316 USDC + 19.075 USDC.e.

Puljerne var allerede i gang med at blive afviklet. Huma Finance satte hurtigt de berørte kontrakter på pause, offentliggjorde en post mortem-rapport og bekræftede, at deres V2-system på Solana og brugermidler på den nuværende platform ikke var påvirket.

DxSale V1 Locker (BNB Chain)

Det største tab i perioden. Angribere drænede over 1.400 ældre likviditetspuljer fra den gamle V1-låsekontrakt (implementeret i 2021).

Udnyttelsen blev muliggjort af en tidligere ejerskabsoverdragelse af locker-kontrakten (269 dage tidligere) kombineret med misbrug af privilegerede funktioner — angriberen reducerede ændringsgebyrer til 1 wei, nulstillede låsens tidsstempler og udførte batch-udtræk. V2+ lockers forblev sikre.

Raydium Legacy AMM V3 (Solana)

Hackere udnyttede fem forældede likviditetspuljer i Raydiums gamle AMM V3-program (udfaset i 2021). Sårbarheden var utilstrækkelig validering af LP-token-mintadresser.

Angriberen skabte en falsk SPL-token-prægning, prægede en forfalsket LP-token og kaldte den gamle udbetalingsfunktion for at dræne reel likviditet. Raydium bekræftede hændelsen og lovede at kompensere de berørte brugere fuldt ud fra sin egen kasse. Nuværende pools og brugere blev ikke påvirket.

Aztec Connect (Ethereum)

To separate angreb på hinanden følgende dage var rettet mod de forældede Aztec Connect-kontrakter (udløb i 2023). Kontrakterne var uforanderlige, og administratornøglerne var allerede blevet opgivet.

Angribere udnyttede en fejl i logikken for bevisverifikation (uoverensstemmelse mellem ZK-bevisvalidering og on-chain-afviklings-/undgåelsesmekanismer) og drænede dermed fanget værdi, som ikke længere kunne sættes på pause eller opgraderes. Aztec Labs havde ingen kontrol over kontrakterne.

Her er en oversigtstabel til hurtig reference:

Hvad projekter bør gøre: En korrekt proces til pensionering af smarte kontrakter

Det er ikke nok blot at deaktivere brugergrænsefladen eller at annoncere, at en kontrakt er "udfaset". En kontrakt er først helt udfaset, når værdi, tilladelser og tillidsantagelser er helt fjernet.

Her er hvad en ordentlig pensionsproces bør omfatte:

1. Fjern al værdi før opmærksomhed fjernes Hæv alle tokens, likviditetspositioner og belønninger. Giv brugerne klare migreringsinstruktioner og incitamenter. Intet system bør stoppe med at blive overvåget, mens det stadig kan opbevare eller flytte brugeraktiver.
2. Tilbagekald alle tilladelser og privilegier Foretag en fuldstændig opgørelse og tilbagekald godkendelser, ejerrettigheder, underskrivere, videresendere, brugere, routere og alle administrative rettigheder. "Vi bruger ikke længere denne kontrakt" betyder ikke, at den ikke længere kan overføre midler.
3. Implementer overvågning af enhver aktivitet ("genoplivnings"-advarsler) Opsæt alarmer for nye indbetalinger i ældre puljer, godkendelser til gamle brugere, uventede saldoændringer, kald til inaktive funktioner og aktivitet via glemte privilegerede stier. Opbevar ældre kontrakter i bug bounty-programmer og sikkerhedsovervågning.
4. Hav en klar plan for scenariet uden patch Hvis en kontrakt er uforanderlig, eller administratornøgler er blevet fravalgt, kan du ikke sætte den på pause eller opgradere den. I sådanne tilfælde skal du styrke migreringsincitamenterne, angive klare risikooplysninger, og udarbejde en færdigudført handlingsplan for incidentrespons.

Sidste konklusion

Det næste store DeFi-tab kommer muligvis ikke fra en skinnende ny funktion. Det kan komme fra en kontrakt, som et team allerede har annonceret var gammel, og som derefter blev efterladt økonomisk i live på kæden.

Sikkerhedsteams er blevet meget gode til at gennemgå lanceringer. Den næste disciplin, branchen har brug for, er gennemgang af exits.

Indtil korrekt kontrakttilbagetrækning bliver standardpraksis, vil ældre kontrakter forblive et af de nemmeste og mest attraktive mål for angribere.