Aztec Connect Dibobol hingga Kehilangan 2,1 Juta Dolar Setelah Eksploit Verifikasi

Aztec Connect, platform keuangan terdesentralisasi (DeFi) yang sudah ditinggalkan (deprecated), dikuras sekitar 2,1 juta dolar AS pada hari Minggu setelah seorang penyerang mengeksploitasi celah pada fungsi verifikasinya. Aztec Labs mengonfirmasi insiden tersebut berdampak pada kontrak pintar platform, namun menyatakan bahwa pengguna dan aset di Aztec Network yang berjalan saat ini tidak terdampak. Eksploit ini menargetkan versi lama dari sistem Aztec yang diluncurkan pada 2022 dan dinonaktifkan pada Maret 2023, sekaligus menyoroti risiko keamanan yang persisten pada kontrak pintar yang bersifat tidak dapat diubah (immutable) dan tetap menyimpan nilai yang masih dapat diakses meski pengembangan aktif telah berakhir.

Penyerang Mengeksploitasi Ketidaksesuaian Verifikasi dan Settlement

Perusahaan keamanan kripto BlockSec mengidentifikasi akar masalah sebagai ketidaksesuaian antara cara Aztec Connect memverifikasi transaksi dan bagaimana transaksi tersebut diselesaikan (settled) di Ethereum. Menurut BlockSec, transaksi yang diverifikasi pada kontrak Aztec Connect “tidak secara efektif terikat pada kumpulan transaksi yang diberlakukan oleh bukti ZK.” Ini memungkinkan jalur verifikasi dan logika settlement di Ethereum “menginterpretasikan daftar transaksi secara berbeda.”

Kelemahan tersebut memungkinkan penyerang menempatkan transaksi di mana kontrak mengkreditkan nilai tanpa memvalidasinya dengan benar di Ethereum. Kredit-kredit ini menciptakan saldo yang tidak memiliki dukungan (unbacked) yang kemudian dapat ditarik. Penyerang mengulangi proses ini sebanyak tujuh kali pada tujuh aset berbeda.

Tujuh Aset Dicuri, Termasuk 909 ETH dan 270.000 DAI

Aset yang dicuri mencakup 909 Ether, 270.000 Dai, 167 wrapped staked ETH, serta beberapa mata uang kripto lainnya. Aztec Labs mengatakan sekitar 2,1 juta dolar AS telah dipindahkan dari kontrak pintar platform. Eksploit ini menimpa Aztec Connect, yang diluncurkan pada 2022 sebagai jembatan DeFi dan menghentikan setoran pada Maret 2023 ketika tim mengalihkan sumber daya ke Aztec Network generasi berikutnya.

Kontrak Immutable Mencegah Intervensi Admin

Aztec Labs menyatakan: “Aztec Labs tidak memiliki kunci admin atau kendali atas sistem; kami tidak dapat menjeda atau melakukan upgrade sistem tersebut.” Pengembang kripto Param mengatakan kontrak pintar Aztec Connect menjadi “sepenuhnya immutable” dan tidak lagi bisa diupgrade atau dijeda. Tanpa kontrol admin, tim tidak bisa menghentikan penarikan, memperbaiki logika verifikasi, atau membekukan saldo yang terekspos setelah aktivitas mencurigakan dimulai.

Eksploit DeFi Juni Totalnya Sedikitnya 44 Juta Dolar AS

Sedikitnya 44 juta dolar AS telah dicuri sejauh ini bulan ini di berbagai eksploit, menurut data DeFiLlama. Insiden terbesar pada Juni adalah kompromi kunci privat di Humanity Protocol, ketika 30 juta dolar AS hilang pada 8 Juni. Syscoin Bridge juga kehilangan 8 juta dolar AS dalam eksploit bukti palsu pada hari sebelumnya. Aztec Network saat ini tidak terdampak oleh eksploit Aztec Connect, menurut tim.

FAQ

Apa penyebab eksploit Aztec Connect pada hari Minggu? Seorang penyerang mengeksploitasi celah pada fungsi verifikasi Aztec Connect, di mana transaksi yang diverifikasi tidak secara efektif terikat pada kumpulan transaksi yang diberlakukan oleh bukti ZK, sehingga jalur verifikasi dan logika settlement di Ethereum menginterpretasikan daftar transaksi secara berbeda.

Berapa banyak yang dicuri dari Aztec Connect dan aset apa saja yang diambil? Sekitar 2,1 juta dolar AS dikuras dari kontrak pintar Aztec Connect, termasuk 909 Ether, 270.000 Dai, 167 wrapped staked ETH, serta beberapa mata uang kripto lainnya di tujuh aset berbeda.