Aztec Network perde mais de US$ 4 milhões em três dias para dois ataques

iconCoinJournal
Compartilhar
This is the logo of the coin.
AZTEC
$0,01506-1,95%
AI summary iconResumo
  • Os contratos legados da Aztec Network foram esvaziados de mais de US$ 4 milhões em três dias.
  • Ataques exploraram falhas na lógica de verificação de prova de conhecimento zero.
  • A rede principal Aztec e o token AZTEC não foram afetados pelos exploros.

A infraestrutura legada da Aztec sofreu uma onda coordenada de ataques, resultando em perdas que ultrapassaram US$ 4 milhões em apenas três dias.

As explorações visaram contratos inteligentes obsoletos que já haviam sido desativados anos atrás, mas ainda mantinham liquidez na cadeia.

Apesar de serem classificados como inativos e imutáveis, os contratos permaneceram acessíveis a atacantes que exploraram fraquezas na lógica de verificação de prova de conhecimento zero.

Embora os ataques não tenham afetado a rede atual da Aztec nem seu token AZTEC, eles expuseram riscos de longa data associados a sistemas DeFi aposentados que continuam a existir em Ethereum sem manutenção ativa ou caminhos de atualização.

Primeira violação: Aztec Connect esvaziado de US$ 2,1 milhões

O primeiro incidente ocorreu em 14 de junho, quando atacantes exploraram o protocolo Aztec Connect, uma ponte obsoleta focada em privacidade que havia sido oficialmente desativada após sua fase de aposentadoria.

O contrato já era considerado inativo, mas ainda continha fundos residuais.

O atacante conseguiu esvaziar aproximadamente US$ 2,1 milhões em ativos digitais, incluindo cerca de 909 ETH, 270.000 DAI e 167 wstETH, juntamente com outras posições menores.

A exploração foi ligada a falhas na forma como a verificação da prova de rollup era tratada, permitindo que provas inválidas ou manipuladas fossem aceitas como legítimas.

O que tornou a situação mais crítica foi a natureza do contrato em si.

Aztec Connect foi descrito como imutável, o que significa que não poderia ser pausado ou corrigido após a implantação.

Embora os usuários tivessem sido anteriormente incentivados a sacar os fundos antes do encerramento, o saldo restante tornou-se um alvo fácil para exploração anos depois.

As equipes de segurança que analisaram o incidente apontaram uma falha na relação entre a validação da prova de conhecimento zero e a lógica de liquidação na cadeia.

Em termos simples, o sistema aceitou provas que não correspondiam corretamente ao estado da transação subjacente, permitindo que o atacante acionasse saques não autorizados.

Segundo ataque: Ponte Privada Rollup explorada para $2,15 milhões

Apenas três dias depois, um segundo exploit atingiu outro sistema legado conhecido como Private Rollup Bridge.

Este contrato também fazia parte da infraestrutura mais antiga da Aztec e havia sido descontinuado após a transição longe dos designs anteriores de rollup.

Neste caso, os atacantes esvaziaram aproximadamente 1.158 ETH, avaliados em cerca de $2,15 milhões no momento do incidente.

O método utilizado foi diferente na execução, mas semelhante na causa técnica raiz.

Em vez de manipular diretamente os saques por meio de incompatibilidade de prova básica, o atacante aproveitou um mecanismo de “saída de emergência” vulnerável incorporado no design da ponte.

Ao enviar uma prova de conhecimento zero especialmente criada, o atacante conseguiu acionar a lógica de saída do contrato.

O sistema validou incorretamente a prova e liberou os fundos sem verificação adequada das transições de estado subjacentes.

Isso permitiu que o atacante extraísse liquidez em uma única sequência coordenada.

Assim como a exploração anterior, esta violação não envolveu comprometimento de chave privada nem vulnerabilidades de reentrada.

Em vez disso, destacou questões mais profundas na estrutura da validação de prova nos sistemas legados de rollup, especialmente quando os contratos permanecem permanentemente ativos na cadeia após serem oficialmente descontinuados.

Resposta da Aztec e de empresas de segurança

Após ambos os incidentes, a Aztec Labs e a Aztec Foundation confirmaram que os sistemas afetados eram produtos descontinuados, sem ligação com a rede atual da Aztec ou o ecossistema do token AZTEC.

Eles enfatizaram que nenhum dos contratos poderia ser atualizado, pausado ou controlado, pois ambos foram projetados para serem imutáveis no momento da implantação.

A empresa de segurança CertiK Alert também identificou a exploração da Ponte Private Rollup, identificando o endereço do atacante e confirmando o movimento de fundos vinculados a uma transação específica de Ethereum.

Sua análise alinhou-se a outras avaliações, sugerindo que a vulnerabilidade decorria de falhas na verificação da prova de conhecimento zero, e não de bugs convencionais em contratos inteligentes.

Representantes da Aztec também esclareceram que os incidentes do Private Rollup Bridge e do Aztec Connect foram eventos separados, embora tenham ocorrido em um curto espaço de tempo e compartilhado fraquezas técnicas semelhantes.

A postagem Aztec Network perde mais de US$ 4 milhões em três dias para dois ataques consecutivos apareceu primeiro em CoinJournal.

Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações. Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.