Selon Aztec Labs et l'entreprise de sécurité blockchain BlockSec, l'attaquant a exploité une faille dans le processus de vérification des transactions de la plateforme, ce qui lui a permis de créer et de retirer des soldes non garantis. L'attaquant a volé 909 ETH, 270 000 DAI, 167 ETH staké emballés et plusieurs autres actifs à travers sept transactions.
Aztec Connect exploité
Dimanche, une plateforme décentralisée de finance (DeFi) obsolète appelée Aztec Connect a subi une exploitation cryptographique ayant entraîné le vol d’environ 2,1 millions de dollars d’actifs numériques.
Aztec Labs confirmed qu'elle enquêtait sur l'incident après avoir découvert que des fonds avaient été drainés du contrat intelligent
Les chercheurs en sécurité blockchain ont rapidement commencé à analyser l'exploitation. La société de sécurité BlockSec has reported que l'attaquant a exploité une faille liée au processus de vérification des transactions de la plateforme. Plus précisément, il y avait un décalage entre la manière dont les transactions étaient vérifiées à l'aide de preuves à divulgation nulle de connaissance et la manière dont elles ont finalement été interprétées et réglées sur Ethereum.
Étant donné que les transactions vérifiées n'étaient pas correctement liées à l'ensemble de transactions imposé par le système de preuve à divulgation nulle de connaissance, l'attaquant a pu manipuler le chemin de vérification. Cela a permis au contrat intelligent de reconnaître et d'attribuer une valeur qui n'avait pas réellement été validée sur Ethereum. En conséquence, l'attaquant a créé des soldes non garantis qui pouvaient ensuite être retirés comme des actifs légitimes.
L'exploitation a été répétée sept fois pour plusieurs actifs numériques.Selon des chercheurs en sécurité, l'attaquant a volé 909 Ethereum (ETH), 270 000 Dai (DAI), 167 wrappedL'incident s'inscrit désormais dans la tendance inquiétante des violations de sécurité liées aux cryptomonnaies. Data de DeFiLlama indique que plus de 44 millions de dollars ont été volés à travers au moins une douzaine d'exploitations distinctes ce mois-ci.Le plus grand incident a impliqué Humanity ProtocolAztec Connect a été lancé en 2022 en tant que pont DeFi axé sur la confidentialité, construit sur la technologie de zero-knowledge rollup d'Aztec. Toutefois, la plateforme a été abandonnée en mars 2023 après que l'équipe de développement ait orienté ses efforts vers le réseau Aztec de nouvelle génération. Les dépôts ont été arrêtés et le support de l'ancienne plateforme a été officiellement interrompu.
Aztec Labs a clairement indiqué qu'elle n'exerce plus de contrôle administratif sur les contrats Aztec Connect. Étant donné que les contrats intelligents ont été conçus pour être entièrement immutables, l'équipe ne peut pas les suspendre, les mettre à jour ou les modifier en réponse à des incidents de sécurité.