Aztec vuelve a sufrir un incidente de seguridad, afectando a un producto de pago antiguo ya descontinuado. Los atacantes transfirieron 1.158 ETH, 150.000 DAI y 0,46 renBTC desde las reservas del protocolo mediante la falsificación de pruebas de rollup, con una pérdida estimada de aproximadamente 2,15 millones de dólares según los informes.
Los contratos afectados fueron desactivados en 2022.
Aztec Labs confirmó que el contrato inteligente aprovechado pertenece a un producto de pago que ya se descartó en 2022. El equipo indicó que este contrato es inmutable, no se puede pausar ni modificar, y actualmente ya no poseen las claves de administración que permitan intervenir en su funcionamiento.
Esto significa que, aunque los productos relacionados dejaron de operar hace mucho tiempo, los contratos en la cadena siguen existiendo y sus activos aún podrían ser objetivos de ataques. Este incidente también vuelve a poner de manifiesto que las infraestructuras antiguas, tras dejar de recibir mantenimiento, pueden dejar riesgos a largo plazo.
Un evento similar ocurrió hace unos días.
Hace apenas unos días, otro producto de rollup de privacidad de Aztec, Aztec Connect, también sufrió un ataque, con pérdidas de aproximadamente 2.1 millones de dólares. Este producto fue descontinuado oficialmente en marzo de 2023. Tras el incidente, Aztec suspendió los depósitos y redirigió su enfoque de desarrollo hacia la nueva generación de Aztec Network.
Sin embargo, aunque el producto ya ha sido retirado, aún permanecen fondos históricos de usuarios en los contratos antiguos, lo que deja una brecha explotable para los atacantes. Estos dos incidentes consecutivos también han vuelto a atraer la atención del mercado hacia la seguridad de los activos pendientes en protocolos desactivados.
La agencia de seguridad advierte sobre los riesgos del contrato antiguo
Varias instituciones de investigación de seguridad señalan que, una vez que los contratos desactivados permanecen en la cadena y aún contienen activos internos, pueden convertirse en objetivos de vigilancia prolongada por parte de hackers. La plataforma de análisis de riesgos Blockful advirtió recientemente que, tras dejar de mantenerse, los contratos antiguos suelen convertirse en "objetivos abiertos" para los atacantes.
SlowMist también mencionó en su análisis posterior que los activos abandonados que permanecen durante mucho tiempo en contratos descartados amplían continuamente la exposición a riesgos. Su recomendación es que, al retirar productos antiguos, los proyectos deben establecer simultáneamente un plan claro de migración de activos para transferir los fondos lo antes posible a la nueva infraestructura.
- Los activos robados en este incidente incluyen 1,158 ETH, 150,000 DAI y 0.46 renBTC
- El evento anterior involucró a Aztec Connect, con una pérdida de aproximadamente 2.1 millones de dólares.
- Ambos eventos están relacionados con contratos antiguos desactivados pero que aún tienen activos.