Aztec sofreu novamente um evento de segurança, afetando um antigo produto de pagamento já desativado. Os atacantes transferiram 1.158 ETH, 150.000 DAI e 0,46 renBTC das reservas do protocolo por meio de provas de rollup falsificadas, com perdas estimadas em cerca de 2,15 milhões de dólares, segundo relatos.
Os contratos afetados foram desativados em 2022.
A Aztec Labs confirmou que o contrato inteligente explorado pertence a um produto de pagamento descontinuado desde 2022. A equipe afirmou que este contrato é imutável, não podendo ser pausado nem modificado, e que a equipe atualmente não possui mais as chaves de administração capazes de intervir em seu funcionamento.
Isso significa que, embora os produtos relacionados tenham deixado de operar há muito tempo, os contratos na cadeia ainda persistem e seus ativos podem continuar sendo alvos de ataques. Este evento também revela novamente que infraestruturas antigas, após a interrupção da manutenção, ainda podem deixar riscos duradouros.
Um evento semelhante ocorreu há poucos dias
Poucos dias atrás, outro produto de rollup de privacidade da Aztec, o Aztec Connect, também sofreu um ataque, resultando em perdas de aproximadamente US$ 2,1 milhões. O produto foi descontinuado oficialmente em março de 2023. Após o incidente, a Aztec suspendeu depósitos e redirecionou seu foco de desenvolvimento para a nova geração da Aztec Network.
No entanto, embora o produto tenha sido descontinuado, ainda permanecem fundos históricos de usuários antigos nos contratos antigos, criando uma vulnerabilidade explorável por atacantes. Os dois incidentes consecutivos também reacenderam a atenção do mercado para a segurança dos ativos deixados em protocolos desativados.
Agência de segurança alerta para riscos de contratos antigos
Várias instituições de pesquisa de segurança apontam que contratos desativados, se permanecerem na cadeia com ativos ainda internos, podem se tornar alvos de longo prazo para hackers. A plataforma de análise de riscos Blockful recentemente alertou que, após a interrupção da manutenção de um projeto, contratos antigos frequentemente se tornam “alvos abertos” para atacantes.
A SlowMist também mencionou na análise pós-evento que ativos remanescentes deixados por longos períodos em contratos abandonados continuam a ampliar a exposição à segurança. Sua recomendação é que, ao descontinuar produtos antigos, os projetos devem simultaneamente elaborar um plano claro de migração de ativos, transferindo os fundos para a nova infraestrutura o mais rápido possível.
- Os ativos roubados nesta ocasião incluem 1.158 ETH, 150.000 DAI e 0,46 renBTC
- O evento anterior envolveu o Aztec Connect, com perdas de aproximadamente 2,1 milhões de dólares.
- Ambos os eventos estão relacionados a contratos antigos desativados, mas que ainda possuem ativos.