Aztec Connect um 2,1 Millionen US-Dollar geplündert, nachdem ein Verifizierungs-Exploit ausgenutzt wurde

Aztec Connect, eine veraltete dezentrale Finanzplattform, wurde am Sonntag um etwa 2,1 Millionen US-Dollar geplündert, nachdem ein Angreifer eine Schwäche in ihrer Verifizierungsfunktion ausgenutzt hatte. Aztec Labs bestätigte, dass der Vorfall den Smart Contract der Plattform betraf, erklärte jedoch, dass Nutzer und Vermögenswerte im aktuellen Aztec Network nicht betroffen waren. Der Angriff richtete sich gegen eine alte Version des Aztec-Systems, das 2022 gestartet und im März 2023 deprecated wurde. Das verdeutlicht anhaltende Sicherheitsrisiken in unveränderlichen Smart Contracts, die auch nach dem Ende aktiver Entwicklung weiterhin zugänglichen Wert speichern.

Angreifer nutzte Verifizierungs- und Abrechnungs-Mismatch aus

Das Krypto-Sicherheitsunternehmen BlockSec identifizierte die Ursache als eine Diskrepanz zwischen der Art und Weise, wie Aztec Connect Transaktionen verifizierte, und wie diese Transaktionen auf Ethereum abgerechnet wurden. Laut BlockSec waren verifizierte Transaktionen im Vertrag von Aztec Connect „nicht effektiv an den Transaktionssatz gebunden, der durch den ZK-Proof erzwungen wird“. Dadurch konnte der Verifizierungsweg und die Abrechnungslogik auf Ethereum „die Transaktionsliste unterschiedlich interpretieren“.

Die Schwäche ermöglichte es dem Angreifer, Transaktionen zu platzieren, bei denen der Vertrag einen Wert gutgeschrieb, ohne ihn auf Ethereum ordnungsgemäß zu validieren. Diese Gutschriften erzeugten nicht gedeckte Salden, die anschließend abgezogen werden konnten. Der Angreifer wiederholte diesen Prozess sieben Mal über sieben verschiedene Assets.

Sieben gestohlene Assets, darunter 909 ETH und 270.000 DAI

Zu den gestohlenen Vermögenswerten gehörten 909 Ether, 270.000 Dai, 167 wrapped staked ETH sowie mehrere weitere Kryptowährungen. Aztec Labs teilte mit, dass rund 2,1 Millionen US-Dollar vom Smart Contract der Plattform übertragen worden seien. Der Exploit betraf Aztec Connect, das 2022 als DeFi-Bridge gestartet wurde und bei der im März 2023 die Einzahlungen gestoppt wurden, als das Team Ressourcen auf das nächste Generation Aztec Network verlagerte.

Unveränderliche Verträge verhinderten Eingriffe durch Administratoren

Aztec Labs erklärte: „Aztec Labs hält keine Admin-Keys oder Kontrolle über das System; es kann von uns weder pausiert noch upgegradet werden.“ Krypto-Entwickler Param sagte, dass die Smart Contracts von Aztec Connect „vollständig unveränderlich“ geworden seien und nicht länger aktualisiert oder pausiert werden könnten. Ohne Admin-Kontrollen konnte das Team keine Abhebungen stoppen, keine Verifizierungslogik patchen oder freigelegte Salden einfrieren, nachdem der verdächtige Aktivitätsbeginn erfolgt war.

Juni-DeFi-Exploits summierten sich bislang auf mindestens 44 Millionen US-Dollar

Mindestens 44 Millionen US-Dollar wurden in diesem Monat bislang über mehrere Exploits hinweg gestohlen, wie DeFiLlama-Daten zeigen. Der größte Vorfall im Juni war ein Kompromittieren eines privaten Schlüssels bei Humanity Protocol, bei dem am 8. Juni 30 Millionen US-Dollar verloren gingen. Die Syscoin Bridge verlor am Vortag ebenfalls 8 Millionen US-Dollar in einem Fake-Proof-Exploit. Das aktuelle Aztec Network sei laut Team nicht von dem Aztec-Connect-Exploit betroffen gewesen.

FAQ

Was verursachte den Aztec-Connect-Exploit am Sonntag? Ein Angreifer nutzte eine Schwäche in der Verifizierungsfunktion von Aztec Connect aus, bei der verifizierte Transaktionen nicht effektiv an den durch den ZK-Proof erzwungenen Transaktionssatz gebunden waren. Dadurch konnte der Verifizierungsweg und die Abrechnungslogik auf Ethereum die Transaktionsliste unterschiedlich interpretieren.

Wie viel wurde aus Aztec Connect gestohlen und welche Assets wurden entnommen? Ungefähr 2,1 Millionen US-Dollar wurden aus dem Smart Contract von Aztec Connect abgezogen, darunter 909 Ether, 270.000 Dai, 167 wrapped staked ETH und mehrere weitere Kryptowährungen über sieben verschiedene Assets.