Aztec Connect, un pont DeFi déprécié lié à l'écosystème Aztec axé sur la confidentialité, a été exploité dimanche après qu'un attaquant a siphonné environ 2,1 millions de dollars d'un ancien contrat intelligent Ethereum.
Aztec Labs a déclaré sur X qu'il « enquêtait sur un potentiel exploit affectant Aztec Connect ». L'équipe a indiqué qu'environ 2,1 millions de dollars avaient été déplacés du contrat immuable de la plateforme, mais a ajouté que les utilisateurs et les actifs actuels du réseau Aztec n'étaient pas affectés.
La déclaration a attiré l'attention car Aztec Connect n'était plus un produit actif. La plateforme a été dépréciée en mars 2023 après qu'Aztec Labs a réorienté ses efforts vers la prochaine version de son réseau de confidentialité.
Aztec Connect avait autrefois permis aux utilisateurs d'accéder à la DeFi via un ZK rollup axé sur la confidentialité. Les dépôts ont été interrompus lorsque le système a été progressivement abandonné, et les utilisateurs avaient eu le temps de retirer leurs fonds de l'ancienne plateforme.
Certains actifs sont restés dans le contrat. Le développeur crypto Param a déclaré que les contrats sont ensuite devenus « entièrement immuables » et ne pouvaient plus être mis à niveau ou mis en pause. Aztec Labs a également déclaré qu'elle ne détenait aucune clé d'administration ni aucun contrôle sur l'ancien système.
Contrairement à un protocole actif, l'ancien système Aztec Connect n'avait aucun opérateur capable de suspendre l'activité. Cela a rendu la réponse dépendante des avertissements publics, du traçage et des vérifications par les utilisateurs affectés restants en ligne.
Cette configuration n'a laissé aucun moyen simple d'arrêter l'exploit une fois que l'attaquant a trouvé le chemin. L'ancien code vivait toujours sur Ethereum, et le contrat détenait toujours des fonds, même si le produit avait été abandonné.
L'équipe Phalcon de BlockSec a déclaré que l'attaque visait le contrat RollupProcessorV3 d'Aztec Connect sur Ethereum. La firme a indiqué que les pertes dépassaient 2,15 millions de dollars après qu'une activité suspecte ait frappé le contrat.
Selon BlockSec, le problème impliquait une incohérence entre la manière dont les transactions étaient vérifiées et la manière dont elles étaient réglées sur Ethereum. En termes simples, le système de preuve et la logique de règlement ne lisaient pas la liste des transactions de la même manière.
Cette lacune a permis à l'attaquant de créer des soldes qui n'étaient pas garantis par une valeur valide sur Ethereum. L'attaquant a ensuite retiré ces soldes. Le même schéma a été répété sept fois sur plusieurs actifs.
Les données de CertiK partagées sur X énuméraient les actifs volés, notamment 909 ETH, environ 270 000 DAI, 167 ETH jalonné enveloppé (wstETH) et des montants plus petits d'autres jetons. Param a également déclaré que l'attaquant avait financé le portefeuille via Tornado Cash avant l'exploit.
L'exploit d'Aztec Connect s'ajoute à un autre mois actif en matière d'incidents de sécurité DeFi. Le traqueur de piratages de DeFiLlama montre plusieurs pertes en juin, y compris 30 millions de dollars de Humanity Protocol le 8 juin et 8 millions de dollars du pont Syscoin le 7 juin.
Comme précédemment rapporté par crypto.news, Humanity Protocol a déclaré que plus de 36 millions de dollars avaient été volés après que des attaquants aient compromis les clés administratives liées à son infrastructure de pont sur Ethereum et la BNB Smart Chain.
Crypto.news a également rapporté que les pertes dues aux piratages sont tombées à 68,3 millions de dollars en mai, soit une baisse de près de 90 % par rapport à avril. Pourtant, CertiK a déclaré que des failles de code avaient causé environ 45 millions de dollars des pertes de mai, en faisant la voie d'attaque la plus importante pour ce mois-là.
Le cas Aztec montre pourquoi les anciens contrats DeFi restent une partie de la carte de sécurité. Même lorsqu'un produit est abandonné, les fonds laissés dans des contrats immuables peuvent encore attirer des attaquants des années plus tard.
