Según Aztec Labs y la empresa de seguridad blockchain BlockSec, el atacante explotó una falla en el proceso de verificación de transacciones de la plataforma, lo que les permitió crear y retirar saldos no respaldados. El atacante robó 909 ETH, 270.000 DAI, 167 ETH stakeado envuelto y varios otros activos en siete transacciones.
Aztec Connect comprometido
El domingo, una plataforma descentralizada de finanzas (DeFi) obsoleta conocida como Aztec Connect sufrió un ataque criptográfico que resultó en el robo de aproximadamente $2,1 millones en activos digitales.
Aztec Labs confirmó que estaba investigando el incidente después de descubrir que los fondos fueron extraídos del contrato inteligente
Los investigadores de seguridad de la cadena de bloques comenzaron rápidamente a analizar el exploit. La empresa de seguridad BlockSec reportó que el atacante aprovechó una falla relacionada con el proceso de verificación de transacciones de la plataforma. Específicamente, hubo una discrepancia entre cómo se verificaban las transacciones mediante pruebas de conocimiento cero y cómo se interpretaron y liquidaron finalmente en ethereum.
Debido a que las transacciones verificadas no se vincularon adecuadamente al conjunto de transacciones exigido por el sistema de prueba de conocimiento cero, el atacante pudo manipular la ruta de verificación. Esto permitió que el contrato inteligente reconociera y acreditara valor que en realidad no había sido validado en ethereum. Como resultado, el atacante creó saldos no respaldados que más tarde podrían retirarse como activos legítimos.
La explotación se repitió siete veces para múltiples activos digitales.Según investigadores de seguridad, el atacante robó 909 Ethereum (ETH), 270.000 Dai (DAI), 167 wrappedEl incidente ahora forma parte de la preocupante tendencia de brechas de seguridad relacionadas con criptomonedas. Data de DeFiLlama muestra que más de $44 millones han sido robados a través de al menos una docena de explotaciones separadas hasta ahora este mes.El incidente más grande involucró a Humanity Protocol, que supuestamente perdió alrededor de 30 millones de dólares tras la vulneración de una clave privada.Otro ataque importante afectó al Syscoin Bridge, donde los atacantes supuestamente explotaron un mecanismo de prueba falsa para robar aproximadamente $8 millones.
Aztec Connect se lanzó originalmente en 2022 como un puente DeFi centrado en la privacidad construido sobre la tecnología de zero-knowledge rollup de Aztec. Sin embargo, la plataforma fue deprecada en marzo de 2023 después de que el equipo de desarrollo desviara su enfoque hacia la próxima generación de Aztec Network. Los depósitos se detuvieron y el soporte para la plataforma anterior se discontinuó efectivamente.
Aztec Labs dejó en claro que ya no tiene control administrativo sobre los contratos de Aztec Connect. Debido a que los contratos inteligentes fueron diseñados para ser completamente inmutables, el equipo no puede pausar, actualizar ni modificarlos en respuesta a incidentes de seguridad.