Aztec subit à nouveau un incident de sécurité, concernant un ancien produit de paiement désuet. Les attaquants ont transféré 1 158 ETH, 150 000 DAI et 0,46 renBTC depuis les réserves du protocole en falsifiant des preuves de rollup, avec une perte estimée à environ 2,15 millions de dollars selon les rapports.
Les contrats affectés ont été désactivés en 2022.
Aztec Labs a confirmé que le contrat intelligent exploité appartenait à un produit de paiement abandonné depuis 2022. L'équipe a indiqué que ce contrat est immuable, ne peut être suspendu ni modifié, et qu'elle ne détient plus aucune clé d'administration permettant d'intervenir sur son fonctionnement.
Cela signifie que, bien que les produits concernés aient cessé d'être exploités depuis longtemps, les contrats sur chaîne persistent toujours et les actifs qu'ils contiennent peuvent encore être des cibles d'attaques. Cet événement souligne à nouveau que les infrastructures anciennes, même après l'arrêt de leur maintenance, peuvent laisser des risques durables.
Un événement similaire s'est produit il y a quelques jours.
Il y a quelques jours à peine, un autre produit de rollup de confidentialité d'Aztec, Aztec Connect, a également été attaqué, entraînant une perte d'environ 2,1 millions de dollars. Ce produit a été officiellement désactivé en mars 2023. Après l'incident, Aztec a suspendu les dépôts et a recentré ses efforts de développement sur la nouvelle génération d'Aztec Network.
Cependant, bien que le produit ait été retiré, des fonds d'utilisateurs historiques restent encore présents dans les anciens contrats, créant une vulnérabilité exploitable par les attaquants. Ces deux incidents consécutifs ont également réorienté l'attention du marché vers la sécurité des actifs laissés en suspens dans les protocoles désactivés.
Les autorités de sécurité avertissent des risques liés aux anciens contrats
Plusieurs institutions de recherche sur la sécurité soulignent que, dès lors qu'un contrat désactivé reste sur la chaîne avec des actifs encore présents à l'intérieur, il peut devenir une cible de long terme pour les pirates. La plateforme d'analyse des risques Blockful a récemment averti que, après l'arrêt de la maintenance d'un projet, les anciens contrats deviennent souvent des « cibles publiques » pour les attaquants.
SlowMist a également mentionné dans son analyse post-incident que laisser des actifs en suspens dans des contrats abandonnés sur une longue période augmente continuellement l'exposition à la sécurité. Il recommande que, lors de la mise hors ligne d'un ancien produit, le projet élabore simultanément un plan clair de migration des actifs pour transférer rapidement les fonds vers la nouvelle infrastructure.
- Les actifs volés incluent 1 158 ETH, 150 000 DAI et 0,46 renBTC
- L'événement précédent concernait Aztec Connect, avec une perte d'environ 2,1 millions de dollars.
- Les deux événements sont liés à des contrats anciens désactivés mais contenant encore des actifs.