2026年6月14日、すでにサービスを終了しているDeFi(分散型金融)ブリッジ「Aztec Connect」のスマートコントラクトから、約210万ドル相当の暗号資産が不正に流出しました。セキュリティ企業の報告によると、攻撃者はプラットフォームの証明検証ロジックにおける欠陥を悪用したとされています。このコントラクトは3年前に非推奨化され、開発元による管理権限が放棄されて不変(immutable)な状態となっていたため、攻撃を阻止することができませんでした。本事案は、Web3業界における「放置されたスマートコントラクト」が抱える永続的なセキュリティリスクを浮き彫りにしています。
脆弱性を突いた攻撃の概要と流出額
セキュリティ企業CertiKなどの報告によると、2026年6月14日にAztec Connectの旧スマートコントラクトから不審な資金流出が検出され、約210万ドル相当の資産が奪われました。流出した資産には、909 ETHや270,000 DAI、167 wstETH(Wrapped Staked Ether)などが含まれており、攻撃者は複数の資産にわたってエクスプロイト(脆弱性を悪用した攻撃)を実行したとされています。
技術的背景と脆弱性の詳細
Aztec Connectは、イーサリアム上でプライバシーを確保しながらDeFiを利用できるようにする、ゼロ知識(ZK)証明技術を用いたロールアップブリッジとしてかつて提供されていました。
今回の不正流出は、同プラットフォームの証明検証ロジックにおける不完全な検証が原因とされています。セキュリティ企業の分析によると、ゼロ知識証明による取引検証と、イーサリアム上での決済処理ロジックの間に乖離が生じていました。攻撃者はこの隙を突き、イーサリアム側で正しく検証されないまま、コントラクト内に裏付けのない残高を生成させ、それを引き出すことに成功したとされています。
開発元が介入できない「不変のコントラクト」のリスク
今回の事案で最も注目すべきは、開発元のAztec Labsがすでに管理権限を放棄していたため、攻撃を物理的に阻止できなかった点です。
Aztec Connectは2023年3月に非推奨化(シャットダウン)されており、その際に管理キー(admin keys)が放棄されていました。スマートコントラクトが完全に「不変」な状態に移行していたため、脆弱性が発見されても、開発元がコントラクトを一時停止したり、修正パッチを適用したりすることができませんでした。
なお、Aztec Labsは迅速に声明を発表し、今回の被害は旧スマートコントラクト内に残されていた資金のみに限定されており、現在稼働している新しい「Aztec Network」やユーザー資産には一切の影響がないことを説明しています。しかし、一度デプロイされた不変のコントラクトが、サービス終了後も「ゾンビコントラクト」として永久にブロックチェーン上に残り続け、将来的にハッキングの標的となるリスクは、今後のWeb3プロジェクトの設計や移行プロセスにおいて重要な教訓となります。
ポイント
- 2026年6月14日、3年前にサービスを終了したAztec Connectの旧スマートコントラクトから約210万ドルが流出しました。
- 攻撃の原因は、ゼロ知識証明の検証ロジックとイーサリアム上の決済ロジックにおける不完全な検証(ミスマッチ)を悪用されたことにあります。
- 開発元の管理権限がすでに放棄され、コントラクトが「不変」であったため、開発元による一時停止や修正パッチの適用などの介入が不可能な状態でした。
- 現在稼働しているAztec Networkおよびユーザー資産への影響はないと公式に発表されています。
- サービス終了後もブロックチェーン上に残り続ける「放置されたスマートコントラクト」が抱えるセキュリティリスクを改めて示す事例となりました。