Aztec Connect esvaziada em US$ 2,1 milhões após exploit de verificação

Aztec Connect, uma plataforma de finanças descentralizadas descontinuada, foi drenada em aproximadamente US$ 2,1 milhões no domingo, depois que um atacante explorou uma falha em sua função de verificação. A Aztec Labs confirmou que o incidente afetou o contrato inteligente da plataforma, mas afirmou que usuários e ativos na Aztec Network atual permaneceram não afetados. O ataque mirou uma versão antiga do sistema da Aztec, lançada em 2022 e descontinuada em março de 2023, destacando riscos de segurança persistentes em contratos inteligentes imutáveis que mantêm valor acessível mesmo depois do fim do desenvolvimento ativo.

Atacante explorou divergência entre verificação e liquidação

A empresa de segurança cripto BlockSec identificou a causa raiz como uma incompatibilidade entre como o Aztec Connect verificava transações e como essas transações eram liquidadas na Ethereum. De acordo com a BlockSec, transações verificadas no contrato do Aztec Connect “não estavam efetivamente vinculadas ao conjunto de transações imposto pela prova ZK”. Isso permitiu que o caminho de verificação e a lógica de liquidação na Ethereum “interpretassem a lista de transações de forma diferente”.

A fragilidade possibilitou ao atacante inserir transações em que o contrato creditava valor sem validá-lo corretamente na Ethereum. Esses créditos criaram saldos sem lastro que então poderiam ser sacados. O atacante repetiu esse processo sete vezes em sete ativos diferentes.

Sete ativos roubados, incluindo 909 ETH e 270.000 DAI

Os ativos roubados incluíram 909 Ether, 270.000 Dai, 167 ETH em wrapped staked e várias outras criptomoedas. A Aztec Labs disse que cerca de US$ 2,1 milhões foram transferidos do contrato inteligente da plataforma. O exploit afetou o Aztec Connect, que foi lançado em 2022 como uma ponte DeFi e teve depósitos interrompidos em março de 2023, quando a equipe direcionou recursos para a Aztec Network de próxima geração.

Contratos imutáveis impediram intervenção de admin

A Aztec Labs afirmou: “A Aztec Labs não detém chaves de admin nem controle sobre o sistema; não é possível pausar nem atualizar por nós”. O desenvolvedor cripto Param disse que os contratos inteligentes do Aztec Connect se tornaram “totalmente imutáveis” e não poderiam mais ser atualizados ou pausados. Sem controles de admin, a equipe não conseguiu interromper saques, corrigir a lógica de verificação nem congelar os saldos expostos depois que a atividade suspeita começou.

Exploits DeFi de junho somaram pelo menos US$ 44 milhões

Pelo menos US$ 44 milhões foram roubados até agora neste mês em vários exploits, segundo dados da DeFiLlama. O maior incidente de junho foi a compromissão de chave privada no Humanity Protocol, quando US$ 30 milhões foram perdidos em 8 de junho. A Syscoin Bridge também perdeu US$ 8 milhões no dia anterior em um exploit de prova falsa. A equipe disse que a Aztec Network atual não foi afetada pelo exploit do Aztec Connect.

FAQ

O que causou o exploit do Aztec Connect no domingo? Um atacante explorou uma falha na função de verificação do Aztec Connect, em que transações verificadas não estavam efetivamente vinculadas ao conjunto de transações imposto pela prova ZK, permitindo que o caminho de verificação e a lógica de liquidação na Ethereum interpretassem a lista de transações de forma diferente.

Quanto foi roubado do Aztec Connect e quais ativos foram levados? Cerca de US$ 2,1 milhões foram drenados do contrato inteligente do Aztec Connect, incluindo 909 Ether, 270.000 Dai, 167 ETH em wrapped staked e várias outras criptomoedas em sete ativos diferentes.