Aztec Labs a déclaré enquêter sur un exploit potentiel affectant un produit de paiement Aztec obsolète datant de 2021.
Dans une publication d'Aztec Labs, l'équipe a déclaré qu'environ 2 millions de dollars avaient été transférés d'un contrat intelligent immuable lors d'une transaction Etherscan le 17 juin.
L'entreprise a déclaré que le produit concerné était un « rollup de stage 2 immuable » qui a été abandonné en 2022. Elle a également indiqué qu'Aztec Labs ne détient aucune clé d'administration ni aucun contrôle sur le système, ce qui signifie qu'elle ne peut ni mettre en pause ni mettre à niveau l'ancien contrat.
La Fondation Aztec a déclaré avoir été informée de l'exploit possible le 17 juin. Dans une publication de la Fondation, elle a indiqué qu'il n'y avait « aucun lien » entre le produit obsolète et tout contrat intelligent lié au réseau actuel ou au token AZTEC ERC20.
La fondation a également déclaré que le produit avait été abandonné il y a quatre ans et qu'Aztec Labs ne contrôlait plus le système. Elle a dirigé les utilisateurs vers Aztec Labs pour des mises à jour, l'équipe étant en train d'examiner la transaction et le contrat affecté.
Aztec Labs a déclaré que le dernier cas est distinct de l'exploit du 14 juin impliquant Aztec Connect, un autre produit obsolète. Comme rapporté précédemment par crypto.news, Aztec Connect a perdu 2,1 millions de dollars après qu'un ancien contrat intelligent immuable ait été exploité.
Selon un rapport précédent de crypto.news, l'attaque d'Aztec Connect impliquait une discordance de vérification qui a permis à des soldes non garantis de transiter par les registres de règlement d'Ethereum. Des entreprises de sécurité ont ensuite retracé le problème à un ancien contrat RollupProcessorV3.
Ce nouveau cas souligne à nouveau un problème auquel sont confrontés les produits DeFi abandonnés. Même après l'arrêt d'un produit, ses contrats peuvent rester actifs sur Ethereum. Si des fonds restent à l'intérieur de contrats immuables, les attaquants peuvent toujours chercher des moyens de les déplacer.
Cela crée un problème de réponse difficile. Une équipe active peut être en mesure d'alerter les utilisateurs et de suivre les fonds, mais elle pourrait ne pas être en mesure d'arrêter un ancien contrat qui n'a pas de contrôles administratifs. Aztec Labs a déclaré qu'elle partagerait d'autres mises à jour « en temps voulu ».
Pour l'instant, Aztec Labs et la Fondation Aztec tracent une ligne claire entre l'ancien produit de paiement et le réseau actuel. La principale affirmation des deux groupes est que l'incident concerne un système obsolète, et non le réseau Aztec actif ou le token AZTEC.
