Ayon sa Aztec Labs at sa blockchain security firm na BlockSec, ang attacker ay nag-exploit ng isang kamalian sa proseso ng pag-verify ng transaksyon ng platform, na nagbigay-daan sa kanila na lumikha at mag-withdraw ng hindi suportadong balanse. Ang attacker ay nakuha ang 909 ETH, 270,000 DAI, 167 wrapped staked ETH, at ilang iba pang mga asset sa pamamagitan ng pitong transaksyon.
Nasira ang Aztec Connect
Noong Linggo, ang isang deprecated na decentralized finance (DeFi) platform na kilala bilang Aztec Connect ay nasakop ng isang crypto exploit na nagresulta sa pagkawala ng halos $2.1 milyon na halaga ng mga digital asset.
Aztec Labs nilinlang na sinusuri nito ang insidente pagkatapos malaman na nalikom ang mga pondo mula sa smart contract.Ipaliwanag ng kumpanya na ang exploit ay nakakaapekto lamang sa mas lumang platform na Aztec Connect at hindi nakakaapekto sa mga user, pera, o mga ari-arian sa kasalukuyang Aztec Network. Ayon sa koponan, umabot sa halos $2.1 milyon ang halaga na isinapindot labas sa smart contract noong panahon ng pag-atake.
Mabilis na nagsimula ang mga researcher sa blockchain security na analisahin ang exploit. Ang security firm na BlockSec ay ireport na ang attacker ay nagmanipula ng isang kahinaan na may kinalaman sa proseso ng pag-verify ng transaksyon ng platform. Tiyak na may pagkakaiba sa paraan kung paano binibigyang-pansin ang mga transaksyon sa pamamagitan ng zero-knowledge proofs at kung paano ito huling binabasa at isinapag sa ethereum.
Dahil hindi tama ang pagkakaugnay ng mga napatunayang transaksyon sa set ng transaksyon na ipinaglalaban ng zero-knowledge proof system, nakapagmanipula ang attacker sa verification path. Pinahintulutan nito ang smart contract na kilalanin at magbigay ng halaga na hindi talaga napatunayan sa Ethereum. Bilang resulta, nilikha ng attacker ang mga balanse na walang suporta na maaaring tarikin mamaya bilang mga legitimo na ari-arian.
Ulitin ang pag-exploit nang pitong beses para sa mga iba’t ibang digital asset.Ayon sa mga siyentipiko sa seguridad, ang attacker ay nakuha ang 909 Ethereum (ETH), 270,000 Dai (DAI), 167 wrappedAng insidente ay ngayon bahagi ng nakakalungkot na trend ng mga paglabag sa kaligtasan na may kinalaman sa cryptocurrency. Data mula sa DeFiLlama ay nagpapakita na higit sa $44 milyon ang nakuha sa pamamagitan ng hindi bababa sa isang dosenang hiwalay na pag-atake hanggang sa ngayon sa buwang ito.Ang pinakamalaking insidente ay ang Humanity Protocol, na ayon sa mga ulat ay nawalan ng halos $30 milyon pagkatapos ma-compromise ang private key.Isang iba pang malaking pag-atake ang tumarget sa Syscoin Bridge, kung saan sinasabing nag-exploit ang mga attacker ng isang pekeng proof mechanism upang makuha ang halos $8 milyon.
Ipinaglunsad ng Aztec Connect noong 2022 bilang isang privacy-focused DeFi bridge na binuksan sa teknolohiya ng zero-knowledge rollup ng Aztec. Gayunpaman, ipinagbawal ng platform noong Marso 2023 matapos magsilbi ang development team sa susunod na henerasyon ng Aztec Network. Sinara ang mga pag-deposit at ipinagbawal ang suporta para sa mas lumang platform.
Nagpakilala ang Aztec Labs na wala na silang administratibong kontrol sa mga contract ng Aztec Connect. Dahil ang mga smart contract ay disenyo upang ganap na immutableng, ang team ay hindi kayang pigilan, i-upgrade, o baguhin ang mga ito bilang tugon sa mga insidente sa seguridad.