Aztec Connect, un puente DeFi obsoleto vinculado al ecosistema Aztec centrado en la privacidad, fue explotado el domingo después de que un atacante sustrajera aproximadamente $2.1 millones de un antiguo contrato inteligente de Ethereum.
Aztec Labs dijo en X que estaba "investigando una posible vulnerabilidad que afecta a Aztec Connect". El equipo dijo que se habían movido aproximadamente $2.1 millones del contrato inmutable de la plataforma, pero añadió que los usuarios y activos actuales de la red Aztec no fueron afectados.
La declaración llamó la atención porque Aztec Connect ya no era un producto activo. La plataforma fue desaprobada en marzo de 2023 después de que Aztec Labs trasladara su trabajo a la siguiente versión de su red de privacidad.
Aztec Connect había permitido una vez a los usuarios acceder a DeFi a través de un ZK rollup centrado en la privacidad. Los depósitos se detuvieron cuando el sistema fue desmantelado, y los usuarios tuvieron tiempo para retirar sus fondos de la antigua plataforma.
Algunos activos permanecieron en el contrato. El desarrollador de criptomonedas Param dijo que los contratos más tarde se volvieron "completamente inmutables" y ya no podían ser actualizados o pausados. Aztec Labs también dijo que no posee claves de administrador ni control sobre el antiguo sistema.
A diferencia de un protocolo activo, el antiguo sistema Aztec Connect no tenía un operador capaz de pausar la actividad. Esto hizo que la respuesta dependiera de advertencias públicas, rastreo y verificaciones por parte de los usuarios afectados restantes en línea.
Esa configuración no dejó una forma sencilla de detener la explotación una vez que el atacante encontró el camino. El código antiguo aún residía en Ethereum, y el contrato aún contenía fondos, a pesar de que el producto había sido abandonado.
El equipo de Phalcon de BlockSec dijo que el ataque apuntó al contrato RollupProcessorV3 de Aztec Connect en Ethereum. La empresa dijo que las pérdidas superaron los $2.15 millones después de que una actividad sospechosa afectara el contrato.
Según BlockSec, el problema implicaba un desajuste entre cómo se verificaban las transacciones y cómo se liquidaban en Ethereum. En términos simples, el sistema de prueba y la lógica de liquidación no leían la lista de transacciones de la misma manera.
Esa brecha permitió al atacante crear saldos que no estaban respaldados por valor válido en Ethereum. El atacante luego retiró esos saldos. El mismo patrón se repitió siete veces en varios activos.
Los datos de CertiK compartidos en X enumeraron los activos robados, incluyendo 909 ETH, alrededor de 270,000 DAI, 167 ETH apostados envueltos (wrapped staked ETH), y cantidades menores de otros tokens. Param también dijo que el atacante financió la billetera a través de Tornado Cash antes del exploit.
La explotación de Aztec Connect se suma a otro mes activo para incidentes de seguridad DeFi. El rastreador de hackeos de DeFiLlama muestra varias pérdidas en junio, incluyendo $30 millones de Humanity Protocol el 8 de junio y $8 millones de Syscoin Bridge el 7 de junio.
Como informó previamente crypto.news, Humanity Protocol dijo que se robaron más de $36 millones después de que los atacantes comprometieran las claves administrativas vinculadas a su infraestructura de puente en Ethereum y BNB Smart Chain.
Crypto.news también informó que las pérdidas por hackeos cayeron a $68.3 millones en mayo, una disminución de casi el 90% con respecto a abril. Aún así, CertiK dijo que las fallas en el código causaron aproximadamente $45 millones de las pérdidas de mayo, convirtiéndolas en la vía de ataque más grande para ese mes.
El caso Aztec muestra por qué los contratos DeFi antiguos siguen siendo parte del mapa de seguridad. Incluso cuando un producto se descontinúa, cualquier fondo que quede en contratos inmutables aún puede atraer a atacantes años después.
