Contrato inteligente abandonado do Aztec Connect drenou US$ 2,1 milhões

O Aztec Connect, uma plataforma DeFi obsoleta vinculada à Aztec Network, foi supostamente esvaziada de cerca de US$ 2,1 milhões em criptoativos após um atacante explorar uma vulnerabilidade na lógica de verificação de transações da plataforma. O incidente destaca como contratos "abandonados" podem permanecer como alvos viáveis muito tempo após seu encerramento oficial.

Aztec Labs disse no X que está investigando uma possível exploração que afeta o Aztec Connect e que aproximadamente US$ 2,1 milhões foram transferidos do contrato inteligente da plataforma. A empresa acrescentou que o problema não afetou os usuários ou ativos na rede atual do Aztec.

• Cerca de US$ 2,1 milhões foram roubados do Aztec Connect após o atacante abusar de seu caminho de verificação e liquidação.
• BlockSec disse que as transações verificadas não estavam efetivamente vinculadas ao conjunto de transações exigido pela prova ZK, criando uma via para sacar saldos não garantidos.
• O atacante supostamente executou a exploração sete vezes em sete ativos, acumulando 909 ETH e 270.000 DAI, entre outros.
• Aztec Connect foi descontinuado em março de 2023, com os depósitos interrompidos e a equipe migrando para o Aztec Network.
• Aztec Labs afirmou que não possui chaves de administração e não pode pausar ou atualizar o Aztec Connect, enquanto um desenvolvedor disse que os contratos se tornaram totalmente imutáveis.

Em sua atualização pública, a Aztec Labs descreveu uma exploração aparente que afetou o contrato inteligente do Aztec Connect e observou que cerca de US$ 2,1 milhões foram transferidos. A empresa enfatizou que o incidente não afetou os ativos ou os saldos dos usuários na rede Aztec ativa.

Aztec Connect está ligado ao ecossistema ZK rollup focado em privacidade construído sobre Ethereum. De acordo com o mesmo contexto fornecido no relatório, Aztec Connect era uma versão anterior da plataforma lançada em 2022 como uma ponte DeFi.

A empresa de segurança BlockSec disse que o atacante aproveitou uma discrepância na forma como o Aztec Connect verificava transações em comparação com a forma como as liquidava no Ethereum.

A explicação da BlockSec focou em como o sistema lidava com a relação entre as transações verificadas e o conjunto de transações imposto pela prova ZK. Em sua visão, as transações aprovadas por meio da rota de verificação do Aztec Connect não eram efetivamente vinculadas ao conjunto de transações imposto pela prova ZK. Essa lacuna permitiu que a lógica de verificação e liquidação do contrato no ethereum interpretasse a lista de transações de forma diferente.

Com essa inconsistência, o atacante poderia realizar transações de forma que o contrato creditasse valor sem a respectiva validação ocorrer no ethereum. A BlockSec afirmou que isso permitiu a criação de saldos não garantidos, que poderiam ser retirados.

BlockSec também relatou que o atacante repetiu a técnica várias vezes — sete vezes em sete ativos diferentes — em vez de depender de um único ataque.

O roubo incluiu supostamente 909 Ether (ETH), 270.000 Dai (DAI), 167 ETH stakeado embrulhado e várias outras criptomoedas. Um post separado da CertiK havia sido citado no relato original como mostrando exemplos de alguns dos ativos roubados.

O incidente do Aztec Connect ocorre em meio a um período movimentado para explorações DeFi. Dados da DeFiLlama mencionados na reportagem indicam que US$ 44 milhões em criptoativos foram roubados até agora este mês em pelo menos 12 explorações distintas.

No início de junho, o maior roubo mencionado estava ligado a uma violação de chave privada no Humanity Protocol, com $30 milhões supostamente perdidos em 8 de junho. Os relatos também apontam para um incidente separado no Syscoin Bridge no dia anterior, onde $8 milhões foram supostamente roubados por meio de uma exploração de prova falsa.

O Aztec Connect foi oficialmente descontinuado em março de 2023, quando os depósitos foram interrompidos e a equipe redirecionou os recursos de desenvolvimento para a próxima geração da Aztec Network. No entanto, o processo de descontinuação não eliminou o risco apresentado pela lógica subjacente do contrato inteligente.

Aztec Labs afirmou que não possui chaves de administração e, portanto, não pode pausar ou atualizar o sistema. Isso significa que a incapacidade da plataforma de ser ajustada pela equipe pode deixar falhas de lógica conhecidas ou emergentes sem correção — especialmente se o código do contrato permanecer no ethereum.

Um desenvolvedor de criptomoeda identificado como “Param” também disse que os contratos inteligentes do Aztec Connect se tornaram totalmente imutáveis, o que significa que não podem mais ser atualizados ou pausados.

Essa combinação—descontinuação sem autoridade de atualização—ajuda a explicar como uma exploração pode surgir muito tempo após a desativação de um produto. Conforme mencionado no relato, o incidente é mais um lembrete de que contratos DeFi abandonados ou descontinuados ainda podem atrair atacantes anos depois, especialmente quando a exploração depende de semânticas fundamentais do contrato e não de parâmetros operacionais temporários.

Os investigadores provavelmente se concentrarão em se os fundos retirados foram imediatamente movidos por meio de plataformas de liquidez ou ainda rastreáveis nos fluxos na cadeia, enquanto a resposta do ecossistema Aztec pode se centrar em confirmar o escopo do impacto e fortalecer os limites entre lógica de verificação e liquidação. Para os usuários, a lição prática é tratar contratos obsoletos como ainda arriscados: código imutável pode permanecer explorável muito tempo após a desativação dos depósitos.

Este artigo foi originalmente publicado como Aztec Connect: Contrato Inteligente Abandonado Esvaziou $2,1 Mi em Crypto Breaking News – sua fonte confiável para notícias de cripto, notícias de bitcoin e atualizações de blockchain.