O contrato Router da Aztec Network recentemente apresentou transações suspeitas na Ethereum, resultando na perda de aproximadamente US$ 2,19 milhões em ativos. Registros na cadeia mostram que as operações relacionadas diretamente utilizaram fundos do contrato do protocolo, o que despertou a atenção de instituições de segurança.
Os pontos suspeitos apontam para a verificação do proofData
A instituição de segurança CertiK afirmou que esta transação apresenta características anormais evidentes. A avaliação preliminar sugere que o atacante pode ter explorado uma lacuna de validação no contrato inteligente, obtendo acesso não autorizado aos fundos do protocolo ou alterando a lógica de execução do contrato para transferir ativos.
Do ponto de vista da análise pública, o problema pode estar na função computeRootHashes(). Essa função é responsável por validar se os _proofData fornecidos são válidos, mas a verificação parece abranger apenas a primeira metade desses dados.
Os dados intermediários são usados para executar a transferência
No processo subsequente, processDepositsAndWithdrawals() continuará a ler o conteúdo intermediário do mesmo _proofData e, com base nele, processará as transferências de tokens relacionadas a depósitos e saques.
Isso significa que um atacante pode criar um conjunto de dados de prova malicioso para fazer com que a parte frontal passe na verificação, enquanto insere instruções de saque ou transferência alteradas na seção intermediária que não é totalmente validada. Como resultado, o conteúdo executado pelo contrato não corresponde ao conteúdo que foi realmente verificado, levando a uma transferência não autorizada.
Recent security incidents have occurred in succession
Antes e depois desse evento, o setor DeFi já registrou múltiplos incidentes de segurança. O Raydium anteriormente revelou que um erro de codificação em seu antigo AMM V3 resultou em perdas totais de aproximadamente US$ 1,34 milhão em cinco pools de liquidez.
Outro ataque de tomada de governança resultou no roubo de aproximadamente US$ 1,5 milhão em Ethereum de um pool de liquidez do Balancer. O TokenBridge da Alephium também foi explorado recentemente, com o atacante utilizando uma guardian key comprometida para falsificar VAA e transferir cerca de US$ 815.000 em 7 minutos.
Informação adicional: Dados da DeFiLlama mostram que, nos últimos 30 dias, os valores roubados na cadeia atingiram US$ 81,73 milhões; desde o início de 2026, os prejuízos acumulados totalizam aproximadamente US$ 634,85 milhões, sendo abril um dos meses com maior perda de fundos no ano.