Kontrak Router Aztec Network baru-baru ini mengalami transaksi mencurigakan di Ethereum, menyebabkan kerugian aset sekitar $2,19 juta. Catatan blockchain menunjukkan bahwa operasi terkait secara langsung memanfaatkan dana dari kontrak protokol, sehingga memicu perhatian lembaga keamanan.
Kemungkinan masalah terletak pada pemeriksaan proofData
Lembaga keamanan CertiK menyatakan bahwa transaksi ini memiliki ciri-ciri yang jelas tidak biasa. Berdasarkan penilaian awal, penyerang kemungkinan memanfaatkan celah verifikasi dalam kontrak pintar, sehingga memperoleh akses tidak sah terhadap dana protokol, atau mengubah logika eksekusi kontrak untuk mentransfer aset.
Dari analisis publik, masalah kemungkinan terletak pada fungsi computeRootHashes(). Fungsi ini bertanggung jawab untuk memvalidasi apakah _proofData yang dimasukkan valid, tetapi cakupan pemeriksaannya tampaknya hanya mencakup separuh pertama dari data tersebut.
Data tengah digunakan untuk menjalankan transfer
Sementara itu, dalam eksekusi selanjutnya, processDepositsAndWithdrawals() akan terus membaca konten menengah dari _proofData yang sama, dan berdasarkan itu memproses transfer token terkait setoran dan penarikan.
Ini berarti penyerang dapat membuat data bukti jahat yang memungkinkan konten awal lolos verifikasi, sekaligus menyisipkan perintah penarikan atau transfer yang telah dimodifikasi di bagian tengah yang tidak diverifikasi sepenuhnya. Akhirnya, konten yang dieksekusi oleh kontrak tidak sesuai dengan konten yang benar-benar diverifikasi, menyebabkan transfer tidak sah terjadi.
Insiden keamanan terbaru terus bermunculan
Sebelum dan sesudah kejadian ini, sejumlah insiden keamanan telah terjadi berturut-turut di bidang DeFi. Raydium sebelumnya mengungkapkan bahwa kesalahan pemrograman dalam AMM V3 versi lama menyebabkan kerugian total sekitar $1,34 juta dari lima kolam likuiditas.
Serangan pengambilalihan tata kelola lainnya menyebabkan pencurian sekitar $1,5 juta dalam Ethereum dari salah satu kolam likuiditas Balancer. TokenBridge Alephium juga baru-baru ini dieksploitasi, di mana penyerang menggunakan guardian key yang telah diretas untuk memalsukan VAA dan mentransfer sekitar $815.000 dalam waktu 7 menit.
Informasi tambahan: Data DeFiLlama menunjukkan bahwa jumlah dana yang dicuri secara on-chain dalam 30 hari terakhir telah mencapai $81,73 juta; sejak awal 2026, total kerugian mencapai sekitar $634,85 juta, dengan April menjadi salah satu bulan dengan kerugian dana terbesar sepanjang tahun ini.