एज़टेक लैब्स और ब्लॉकचेन सुरक्षा कंपनी ब्लॉकसेक के अनुसार, हमलावर ने प्लेटफॉर्म की लेन-देन सत्यापन प्रक्रिया में एक दोष का दुरुपयोग किया, जिससे उन्हें अपृष्ठभूत शेष बनाने और विड्रॉ करने की अनुमति मिली। हमलावर ने सात लेन-देन के माध्यम से 909 ETH, 270,000 DAI, 167 व्रैप्ड स्टेक्ड ETH और कई अन्य संपत्तियाँ चुरा लीं।
Aztec Connect का दुरुपयोग हुआ
रविवार को, एज़टेक कनेक्ट नामक एक पुराना डिसेंट्रलाइज्ड फाइनेंस (DeFi) प्लेटफॉर्म एक क्रिप्टो दुरुपयोग का शिकार हुआ, जिसके परिणामस्वरूप लगभग 2.1 मिलियन डॉलर की डिजिटल संपत्तियां चुरा ली गईं।
Aztec Labs ने पुष्टि की कि उन्होंने Aztec Connect के स्मार्ट कॉन्ट्रैक्ट से धन की निकासी के बाद घटना की जांच कर रहे हैं।कंपनी ने स्पष्ट किया कि दुरुपयोग केवल पुराने एज़टेक कनेक्ट प्लेटफॉर्म को प्रभावित किया और वर्तमान एज़टेक नेटवर्क पर उपयोगकर्ताओं, धन या संपत्तियों को प्रभावित नहीं किया। टीम के अनुसार, हमले के दौरान लगभग $2.1 मिलियन को कॉन्ट्रैक्ट से बाहर ले जाया गया।
ब्लॉकचेन सुरक्षा शोधकर्ताओं ने शीघ्र ही दुरुपयोग का विश्लेषण शुरू कर दिया। सुरक्षा कंपनी BlockSec ने रिपोर्ट की कि हमलावर ने प्लेटफॉर्म की लेन-देन सत्यापन प्रक्रिया से संबंधित एक दोष का फायदा उठाया। विशेष रूप से, ज़ीरो-नॉलेज प्रूफ़ के माध्यम से लेन-देन के सत्यापन और अंततः ईथेरियम पर उनकी व्याख्या और निपटान के बीच एक असंगति थी।
चूंकि पुष्टि किए गए लेन-देन को ज़ीरो-नॉलेज प्रूफ़ सिस्टम द्वारा लागू लेन-देन सेट से उचित रूप से जोड़ा नहीं गया था, इसलिए हमलावर ने पुष्टि मार्ग को विकृत कर दिया। इससे स्मार्ट कॉन्ट्रैक्ट को ईथेरियम पर वास्तव में पुष्टि नहीं हुए मूल्य को पहचानने और जमा करने की अनुमति मिली। परिणामस्वरूप, हमलावर ने अप्राप्त शेष बना दिए जिन्हें बाद में वैध संपत्ति के रूप में निकाला जा सकता था।
दुरुपयोग को एक से अधिक डिजिटल संपत्तियों के लिए सात बार दोहराया गया।सुरक्षा शोधकर्ताओं के अनुसार, हमलावर ने 909 ईथेरियम (ETH), 270,000 Dai (DAI), 167 wrapped<path d="M3.<s5>wrapped<svg class="Linkstyles__Arrow-sc-wrappedघटना अब क्रिप्टो-संबंधी सुरक्षा उल्लंघनों की चिंताजनक प्रवृत्ति का हिस्सा बन गई है। डेटा DeFiLlama से दिखाता है कि इस महीने अब तक कम से कम दर्जनों अलग-अलग दुरुपयोगों के माध्यम से $44 मिलियन से अधिक चुरा लिए जा चुके हैं।सबसे बड़ी घटना Humanity Protocol से संबंधित थी, जिसके निजी कुंजी के दुरुपयोग के बाद लगभग $३० मिलियन का नुकसान हुआ।एक और प्रमुख हमला सिसकॉइन ब्रिज पर हुआ, जहां हमलावरों ने एक झूठे साबिती तंत्र का दुरुपयोग करके लगभग 8 मिलियन डॉलर चुरा लिए।
एज़टेक कनेक्ट मूल रूप से 2022 में एज़टेक की जीरो-क्नोलेज रोलअप तकनीक पर बनाए गए प्राइवेसी-फोकस्ड डीफाई ब्रिज के रूप में लॉन्च किया गया था। हालाँकि, विकास टीम ने अगली पीढ़ी के एज़टेक नेटवर्क की ओर ध्यान केंद्रित करने के बाद मार्च 2023 में प्लेटफॉर्म को अप्रचलित कर दिया गया। डिपॉज़िट करें रोक दिए गए और पुराने प्लेटफॉर्म के लिए समर्थन को प्रभावी ढंग से बंद कर दिया गया।
Aztec Labs ने स्पष्ट कर दिया कि उसके पास Aztec Connect कॉन्ट्रैक्ट्स पर प्रशासनिक नियंत्रण अब नहीं है। चूंकि स्मार्ट कॉन्ट्रैक्ट्स को पूरी तरह से अपरिवर्तनीय बनाया गया था, इसलिए टीम सुरक्षा घटनाओं के जवाब में उन्हें रोक, अपग्रेड या संशोधित नहीं कर सकती।