Aztec Labs ve blok zinciri güvenlik firması BlockSec'e göre, saldırgan, platformun işlem doğrulama sürecindeki bir hata yoluyla desteklenmeyen bakiyeler oluşturup çekme imkanı elde etti. Saldırgan, yedi işlem boyunca 909 ETH, 270.000 DAI, 167 sarılmış staked ETH ve birkaç diğer varlık çaldı.
Aztec Connect Sızıldı
Pazar günü, Aztec Connect adı verilen eski bir dezentralize finans (DeFi) platformu, yaklaşık 2,1 milyon dolarlık dijital varlıkların çalınmasına neden olan bir kripto saldırısına uğradı.
Aztec Labs, onayladı ki, Aztec Connect'in akıllı sözleşmesinden fonların çekildiğini tespit ettikten sonra olayı araştırmaktadır.Şirket, istismarın yalnızca eski Aztec Connect platformunu etkilediğini ve mevcut Aztec Network'teki kullanıcıları, fonları veya varlıkları etkilemediğini açıkladı. Takım, saldırı sırasında sözleşmeden yaklaşık 2,1 milyon doların transfer edildiğini belirtti.
Blok zinciri güvenlik araştırmacıları, istismarın analizini hemen başlattı. Güvenlik firması BlockSec rapor etti ki, saldırgan, platformun işlem doğrulama süreciyle ilgili bir hata yararlandı. Özellikle, sıfır bilgi kanıtları aracılığıyla işlemlerin doğrulanma şekli ile Ethereum üzerinde nihai olarak yorumlanma ve çözülme şekli arasında bir uyumsuzluk vardı.
Doğrulanmış işlemler, sıfır bilgi kanıtı sistemi tarafından zorunlu kılınan işlem kümesine doğru şekilde bağlanmadığından, saldırgan doğrulama yolunu manipüle edebildi. Bu, akıllı sözleşmenin Ethereum üzerinde gerçekten doğrulanmamış olan bir değeri tanımasını ve kredite etmesini sağladı. Sonuç olarak, saldırgan daha sonra meşru varlıklar olarak çekilebilen desteksiz bakiyeler oluşturdu.
Saldırı, birkaç dijital varlık için yedi kez tekrarlandı.Güvenlik araştırmacılarına göre, saldırgan 909 Ethereum (ETH), 270.000 Dai (DAI), 167 wrappedOlay, kripto ile ilgili güvenlik ihlallerinin endişe veren eğiliminin bir parçası haline geldi. Data DeFiLlama'dan, bu ay itibarıyla en az on iki ayrı sızma yoluyla 44 milyon doların üstünde para çalındığını gösteriyor.En büyük olay, özel anahtarın güvenliği ihlal edildikten sonra yaklaşık 30 milyon dolar kayıp yaşayan Humanity ProtocolAztec Connect, gizliliğe odaklı bir DeFi köprüsü olarak 2022 yılında Aztec'in sıfır bilgi rollup teknolojisi üzerine kuruldu. Ancak geliştirme ekibi, bir sonraki nesil Aztec Network'e odaklanmaya başladıkça platform, 2023 Mart'ta kullanımdan kaldırıldı. Yatırmalar durduruldu ve eski platforma yönelik destek etkili bir şekilde sona erdi.
Aztec Labs, Aztec Connect akıllı sözleşmeleri üzerinde yönetici kontrolünün daha olmadığını açıkça belirtti. Akıllı sözleşmeler tamamen değişmez şekilde tasarlandığından, ekip güvenlik olaylarına yanıt olarak bunları durduramaz, yükseltemez veya değiştiremez.