Aztec Connect drenado de 2,1 millones de dólares tras un exploit de verificación

Aztec Connect, una plataforma de finanzas descentralizadas (DeFi) obsoleta, fue vaciada de aproximadamente 2,1 millones de dólares el domingo después de que un atacante explotara una falla en su función de verificación. Aztec Labs confirmó que el incidente afectó al contrato inteligente de la plataforma, pero afirmó que los usuarios y los activos en la Aztec Network actual no se vieron afectados. El exploit se dirigió a una versión antigua del sistema de Aztec lanzada en 2022 y descontinuada en marzo de 2023, lo que puso de relieve riesgos de seguridad persistentes en contratos inteligentes inmutables que conservan valor accesible incluso después de que el desarrollo activo haya terminado.

El atacante explotó una discrepancia entre verificación y liquidación

La firma de seguridad cripto BlockSec identificó la causa raíz como una falta de concordancia entre la forma en que Aztec Connect verificaba las transacciones y cómo esas transacciones se liquidaban en Ethereum. Según BlockSec, las transacciones verificadas en el contrato de Aztec Connect estaban “no efectivamente vinculadas al conjunto de transacciones impuesto por la prueba ZK”. Esto permitió que la ruta de verificación y la lógica de liquidación en Ethereum “interpreten la lista de transacciones de manera diferente”.

La debilidad permitió al atacante colocar transacciones en las que el contrato acreditaba valor sin validarlo correctamente en Ethereum. Esos abonos crearon saldos no respaldados que luego podían retirarse. El atacante repitió este proceso siete veces en siete activos diferentes.

Siete activos robados, incluidos 909 ETH y 270.000 DAI

Los activos robados incluyeron 909 Ether, 270.000 Dai, 167 ETH envuelto en staking y varias otras criptomonedas. Aztec Labs dijo que alrededor de 2,1 millones de dólares se habían transferido desde el contrato inteligente de la plataforma. El exploit afectó a Aztec Connect, que se lanzó en 2022 como un puente DeFi y con depósitos detenidos en marzo de 2023 cuando el equipo cambió recursos a la Aztec Network de próxima generación.

Contratos inmutables impidieron la intervención del administrador

Aztec Labs afirmó: “Aztec Labs no tiene claves de administrador ni control sobre el sistema; no puede ser pausado ni actualizado por nosotros”. El desarrollador cripto Param dijo que los contratos inteligentes de Aztec Connect se volvieron “completamente inmutables” y ya no podían actualizarse ni pausarse. Sin controles de administrador, el equipo no pudo detener los retiros, corregir la lógica de verificación ni congelar los saldos expuestos después de que comenzara la actividad sospechosa.

Los exploits DeFi de junio sumaron al menos 44 millones de dólares

Al menos 44 millones de dólares han sido robados hasta ahora este mes en múltiples exploits, según los datos de DeFiLlama. El incidente más grande de junio fue una filtración de clave privada en Humanity Protocol, donde se perdieron 30 millones de dólares el 8 de junio. El Syscoin Bridge también perdió 8 millones de dólares en un exploit de prueba falsa el día anterior. Según el equipo, la Aztec Network actual no se vio afectada por el exploit de Aztec Connect.

Preguntas frecuentes

¿Qué causó el exploit de Aztec Connect el domingo?
Un atacante explotó una falla en la función de verificación de Aztec Connect, donde las transacciones verificadas no estaban efectivamente vinculadas al conjunto de transacciones impuesto por la prueba ZK, lo que permitió que la ruta de verificación y la lógica de liquidación en Ethereum interpretaran la lista de transacciones de manera diferente.

¿Cuánto se robó de Aztec Connect y qué activos se llevaron?
Aproximadamente 2,1 millones de dólares se drenaron del contrato inteligente de Aztec Connect, incluidos 909 Ether, 270.000 Dai, 167 ETH envuelto en staking y varias otras criptomonedas en siete activos diferentes.