Aztec Connect bị hack 2,19 triệu USD phơi bày ‘di sản nguy hiểm’ của các hợp đồng DeFi cũ

‘Aztec Connect’ phiên bản cũ bị hack, **từ DeFi**, **từ hợp đồng thông minh**, **từ Aztec Connect** lại dấy lên lo ngại về “di sản nguy hiểm” trong các giao thức đã ngừng hoạt động.

Theo SlowMist đưa tin ngày 16 (giờ địa phương), vụ tấn công xảy ra trên một hợp đồng thông minh **từ Aztec Connect** đã bị vô hiệu hóa trước đó, với tổng thiệt hại ước tính khoảng 2,19 triệu USD. Dù mạng lưới Aztec hiện tại không bị ảnh hưởng trực tiếp, sự cố này cho thấy các hợp đồng “legacy” từng được sử dụng vẫn có thể trở thành mục tiêu tấn công sau nhiều năm.

Về bản chất, vấn đề không nằm ở hạ tầng đang vận hành của **từ DeFi** hay mạng Aztec, mà ở các thành phần cũ vẫn tồn tại trên chuỗi. Trên blockchain, một khi hợp đồng **từ hợp đồng thông minh** đã được triển khai, nó gần như không thể xóa bỏ hoàn toàn. Ngay cả khi giao diện web đóng cửa, đội ngũ chuyển sang sản phẩm khác, thì mã nguồn và tài sản khóa trong hợp đồng vẫn ở đó – và kẻ tấn công có đủ thời gian để nghiên cứu, khai thác.

Trong **từ DeFi**, tính “bất biến” thường được ca ngợi là ưu điểm: hợp đồng không thể bị tùy tiện thay đổi, giúp tăng tính minh bạch và khả năng dự đoán. Nhưng chính đặc tính này lại biến thành điểm yếu khi tồn tại lỗ hổng. Những hợp đồng cũ, không còn được bảo trì, rất khó vá lỗi hoặc chặn đứng hoàn toàn sau khi phát hiện rủi ro. Điều đó đồng nghĩa, nhiều năm sau khi dự án dừng hoạt động, chúng vẫn có thể bị moi lại để khai thác.

Người dùng lại dễ nhầm lẫn “dừng dự án” với “kết thúc an toàn”. Khi front-end biến mất, kênh liên lạc tắt dần, cộng đồng rời đi, nhiều người mặc nhiên cho rằng tài sản đã “nằm yên”. Thực tế, các khoản tiền vẫn bị khóa trong hợp đồng, cùng với các quyền phê duyệt (approval) mà ví đã cấp từ trước. Đối với hacker, thương hiệu có còn nổi hay không không quá quan trọng; điều quan trọng là liệu trong những hợp đồng cũ đó vẫn còn giá trị có thể rút ra hay không.

Sự cố **từ Aztec Connect** lần này cho thấy bảo mật **từ DeFi** không chỉ là câu chuyện của những giao thức đang hoạt động. Các cầu nối đã đóng, pool thanh khoản bị bỏ hoang, hợp đồng không còn được quản lý… tất cả đều là “tài sản rủi ro tiềm tàng”. Khi nhận được thông báo dự án dừng, nâng cấp hay di dời sang phiên bản mới, người dùng cần chủ động kiểm tra lại số dư còn sót, thu hồi các quyền phê duyệt trên ví và cân nhắc di chuyển tài sản sang các hợp đồng được kiểm toán, còn được duy trì.

*bình luận*

Vụ việc **từ Aztec Connect** là lời nhắc nhở rằng “mã để lại” nguy hiểm không kém “mã mới viết”. Để **từ DeFi** trưởng thành, cộng đồng không chỉ tập trung vào tốc độ ra mắt sản phẩm mới, mà còn phải nghiêm túc với quy trình “nghỉ hưu” hợp đồng: kế hoạch rút thanh khoản, thu hồi quyền, cảnh báo người dùng và xây dựng cơ chế “sunset” chuẩn hóa cho các **từ hợp đồng thông minh** cũ. Nếu không xử lý tốt phần “di sản” này, rủi ro bảo mật sẽ âm ỉ kéo dài, ngay cả khi dự án đã biến mất khỏi radar thị trường.