Menurut Aztec Labs dan perusahaan keamanan blockchain BlockSec, penyerang memanfaatkan kelemahan dalam proses verifikasi transaksi platform, yang memungkinkan mereka membuat dan menarik saldo yang tidak didukung. Penyerang mencuri 909 ETH, 270.000 DAI, 167 wrapped staked ETH, dan beberapa aset lainnya dalam tujuh transaksi.
Aztec Connect Dieksploitasi
Pada hari Minggu, sebuah platform keuangan terdesentralisasi (DeFi) yang sudah tidak digunakan lagi, dikenal sebagai Aztec Connect, mengalami eksploitasi kripto yang mengakibatkan pencurian aset digital senilai sekitar $2,1 juta.
Aztec Labs konfirmasi bahwa mereka sedang menyelidiki insiden tersebut setelah menemukan bahwa dana telah ditarik dari kontrak pintar
Peneliti keamanan blockchain segera mulai menganalisis eksploitasi tersebut. Perusahaan keamanan BlockSec melaporkan bahwa penyerang memanfaatkan kelemahan yang melibatkan proses verifikasi transaksi platform. Secara khusus, terdapat ketidaksesuaian antara cara transaksi diverifikasi melalui zero-knowledge proof dan cara akhirnya ditafsirkan serta diselesaikan di ethereum.
Karena transaksi yang diverifikasi tidak terhubung dengan benar ke set transaksi yang diberlakukan oleh sistem zero-knowledge proof, penyerang mampu memanipulasi jalur verifikasi. Ini memungkinkan kontrak pintar mengenali dan memberi kredit nilai yang sebenarnya tidak diverifikasi di Ethereum. Akibatnya, penyerang menciptakan saldo yang tidak didukung yang kemudian dapat ditarik sebagai aset sah.
Eksploitasi diulang tujuh kali untuk beberapa aset digital.Menurut para peneliti keamanan, penyerang mencuri 909 Ethereum (ETH), 270.000 Dai (DAI), 167 wrapped staked Ether, dan beberapa cryptocurrency lainnya.Nilai gabungan aset-aset ini mencapai sekitar $2,1 juta.
Insiden ini sekarang menjadi bagian dari tren mengkhawatirkan terkait pelanggaran keamanan kripto. Data dari DeFiLlama menunjukkan bahwa lebih dari $44 juta telah dicuri melalui setidaknya selusin eksploitasi terpisah sejauh bulan ini.Insiden terbesar melibatkan Humanity ProtocolAztec Connect awalnya diluncurkan pada 2022 sebagai jembatan DeFi yang berfokus pada privasi yang dibangun di atas teknologi zero-knowledge rollup Aztec. Namun, platform ini ditinggalkan pada Maret 2023 setelah tim pengembang mengalihkan fokusnya ke Aztec Network generasi berikutnya. Setoran dihentikan dan dukungan untuk platform lama secara efektif dihentikan.
Aztec Labs menegaskan bahwa mereka tidak lagi memiliki kendali administratif atas kontrak Aztec Connect. Karena kontrak pintar dirancang untuk sepenuhnya immutable, tim tidak dapat menghentikan, meningkatkan, atau memodifikasi kontrak tersebut sebagai respons terhadap insiden keamanan.