Contrat intelligent abandonné d’Aztec Connect vidé de 2,1 M$

Aztec Connect, une plateforme DeFi obsolète liée à Aztec Network, aurait été vidée d'environ 2,1 millions de dollars en crypto après qu'un attaquant a exploité une vulnérabilité dans la logique de vérification des transactions de la plateforme. L'incident met en lumière le fait que les contrats « abandonnés » peuvent rester des cibles viables longtemps après leur retrait officiel.

Aztec Labs a déclaré sur X qu'il enquêtait sur une exploitation potentielle affectant Aztec Connect et qu'environ 2,1 millions de dollars ont été transférés depuis le contrat intelligent de la plateforme. L'entreprise a ajouté que ce problème n'a pas affecté les utilisateurs ni les actifs sur le réseau Aztec actuel.

• Environ 2,1 millions de dollars ont été volés auprès d’Aztec Connect après que l’attaquant ait abusé de son chemin de vérification et de règlement.
• BlockSec a déclaré que les transactions vérifiées n'étaient pas efficacement liées à l'ensemble de transactions appliqué par la preuve ZK, créant une voie pour retirer des soldes non garantis.
• L'attaquant aurait exploité la faille sept fois sur sept actifs, accumulant 909 ETH et 270 000 DAI, entre autres.
• Aztec Connect a été abandonné en mars 2023, les dépôts ayant été arrêtés et l'équipe ayant migré vers Aztec Network.
• Aztec Labs a déclaré ne pas posséder de clés d'administration et ne pas pouvoir mettre en pause ou mettre à jour Aztec Connect, tandis qu'un développeur a affirmé que les contrats sont devenus entièrement immutables.

Dans sa mise à jour publique, Aztec Labs a décrit une exploitation apparemment exploitée sur le contrat intelligent d'Aztec Connect et a indiqué qu'environ 2,1 millions de dollars ont été transférés. L'entreprise a souligné que cet incident n'a pas affecté les actifs ou les soldes des utilisateurs sur le réseau Aztec en direct.

Aztec Connect est lié à l'écosystème de ZK rollup axé sur la confidentialité construit sur Ethereum. Selon le même contexte fourni dans le rapport, Aztec Connect était une version antérieure de la plateforme lancée en 2022 en tant que pont DeFi.

La société de sécurité BlockSec a déclaré que l'attaquant a exploité un désaccord entre la manière dont Aztec Connect vérifiait les transactions et la manière dont elle les réglerait sur Ethereum.

L'explication de BlockSec s'est concentrée sur la manière dont le système gère la relation entre les transactions vérifiées et l'ensemble de transactions imposé par la preuve ZK. Selon elle, les transactions approuvées via la voie de vérification d'Aztec Connect n'étaient pas efficacement liées à l'ensemble de transactions imposé par la preuve ZK. Ce décalage a permis à la logique de vérification et de règlement du contrat sur Ethereum d'interpréter la liste de transactions différemment.

Avec cette incohérence, l'attaquant pouvait passer des transactions de sorte que le contrat crédite une valeur sans que la validation correspondante ne se produise sur Ethereum. BlockSec a indiqué que cela permettait la création de soldes non garantis, qui pouvaient ensuite être retirés.

BlockSec a également indiqué que l'attaquant a répété la technique à plusieurs reprises — sept fois sur sept actifs différents — plutôt que de compter sur une seule opération.

Le vol aurait inclus 909 Ether (ETH), 270 000 Dai (DAI), 167 ETH staké emballés, ainsi que plusieurs autres cryptomonnaies. Un autre message de CertiK avait été cité dans le rapport initial pour montrer des exemples de certains des actifs volés.

L'incident Aztec Connect survient au milieu d'une période chargée pour les exploitations DeFi. Les données de DeFiLlama citées dans le rapport indiquent que 44 millions de dollars en crypto-monnaies ont été volés jusqu'à présent ce mois-ci dans le cadre d'au moins 12 exploitations distinctes.

Plus tôt en juin, le vol le plus important mentionné était lié à une compromission de clé privée sur le protocole Humanity, avec 30 millions de dollars supposément perdus le 8 juin. Les rapports mentionnent également un incident séparé sur le Syscoin Bridge la veille, où 8 millions de dollars auraient été volés grâce à une exploitation de preuve falsifiée.

Aztec Connect a été officiellement déprécié en mars 2023, lorsque les dépôts ont été arrêtés et que l'équipe a réorienté les ressources de développement vers le réseau Aztec de nouvelle génération. Toutefois, le processus de dépréciation n'a pas éliminé le risque posé par la logique sous-jacente du contrat intelligent.

Aztec Labs a déclaré ne détenir aucune clé d'administration et ne donc pas pouvoir suspendre ou mettre à jour le système. Cela signifie que l'incapacité de l'équipe à ajuster la plateforme peut laisser des failles logiques connues ou émergentes non corrigées — surtout si le code du contrat reste sur Ethereum.

Un développeur de crypto identifié comme « Param » a également déclaré que les contrats intelligents Aztec Connect sont devenus entièrement immutables, ce qui signifie qu'ils ne peuvent plus être mis à jour ni mis en pause.

Cette combinaison—dépréciation sans autorité de mise à niveau—aide à expliquer comment une faille peut apparaître longtemps après la retraite d’un produit. Comme mentionné dans le rapport, cet incident constitue un autre rappel que les contrats DeFi abandonnés ou dépréciés peuvent encore attirer des attaquants des années plus tard, particulièrement lorsque l’exploitation dépend de sémantiques contractuelles fondamentales plutôt que de paramètres opérationnels temporaires.

Les enquêteurs se concentreront probablement sur la question de savoir si les fonds retirés ont été immédiatement transférés via des plateformes de liquidité ou restent traçables dans les flux sur chaîne, tandis que la réponse de l'écosystème Aztec pourrait se centrer sur la confirmation de l'étendue de l'impact et le renforcement des limites entre la logique de vérification et de règlement. Pour les utilisateurs, la leçon pratique est de considérer les contrats obsolètes comme toujours risqués : un code immuable peut rester exploitable longtemps après la fermeture des dépôts.

Cet article a été initialement publié sous le titre Aztec Connect : contrat intelligent abandonné vidangé de 2,1 M$ sur Crypto Breaking News – votre source de confiance pour les actualités crypto, les nouvelles sur le bitcoin et les mises à jour sur la blockchain.