El contrato Router de Aztec Network está en las noticias tras ser objeto de una transacción sospechosa descubierta en la cadena de bloques de Ethereum [ETH]. Esto provocó la pérdida de activos valorados en aproximadamente $2.19 millones.
De hecho, la dirección del monedero “0x0f18….edd17” utilizó fondos del contrato Router del protocolo para realizar la transacción.
Según CertiK, el ataque fue “sospechoso” porque el atacante podría haber aprovechado una debilidad en el contrato inteligente, obtenido acceso no autorizado a los fondos del protocolo o alterado la lógica del contrato para desviar activos.
Una posible falla en la validación del contrato inteligente
Sin embargo, algunas señales sugirieron que el manejo de los datos de prueba por parte del protocolo era defectuoso en el proceso de validación del contrato inteligente. El problema parecía estar específicamente con la función computeRootHashes(), que supervisaba la confirmación de la legitimidad de los _proofData proporcionados, pero solo examinaba la primera parte de ellos.
Sin embargo, la porción media de la carga útil _proofData contenía los datos que processDepositsAndWithdrawals() utilizó posteriormente para realizar transferencias de tokens.
Por lo tanto, un atacante podría haber creado una prueba maliciosa en la que la sección intermedia no verificada contenía instrucciones de depósito o retiro manipuladas, mientras que la parte verificada permaneció válida y superó las comprobaciones de seguridad del protocolo.
Por su parte, el contrato terminó realizando transferencias no autorizadas de tokens como resultado de que esas instrucciones no se autenticaron adecuadamente antes de procesarlas. En términos sencillos, parecía haber una discrepancia entre lo verificado y lo ejecutado realmente.
Más incidentes así
El momento aquí es interesante porque Raydium también encontró un error de codificación en su antiguo programa AMM V3 que provocó el robo de criptomonedas por un valor de 1,34 millones de dólares de cinco pools.
Mientras tanto, otro ataque de toma de control de gobernanza permitió a un explotador robar aproximadamente $1.5 millones en Ethereum de un pool de liquidez de Balancer.
Recientemente también se descubrió una nueva explotación que atacó el Alephium TokenBridge de Ethereum. En esta explotación, se drenaron $815,000 en siete minutos utilizando tres de las cuatro claves de guardianes comprometidas que firmaron VAAs falsificadas (Verified Action Approvals).
De manera similar, según una investigación independiente de Quantstamp, Humanity Protocol vinculó un ataque de phishing dirigido contra uno de sus directores con la adquisición por parte del atacante de credenciales administrativas, actualizaciones de contratos, transferencias de tokens de Ethereum y la creación de nuevos tokens H en la BNB Chain.
En general, el Valor Total Robado (USD) ha alcanzado ahora $81,73 millones en 30 días, según los datos de DeFiLlama. Con $634,85 millones perdidos solo en 2026, abril ha registrado el mayor valor extraído hasta ahora.
Resumen final
- La falla parece haber sido causada por la verificación incompleta de _proofData.
- El episodio es el más reciente en una serie de fallas de seguridad en DeFi.