Aztec Connect, wycofany z użycia most DeFi połączony z ekosystemem Aztec skoncentrowanym na prywatności, został wykorzystany w niedzielę, gdy atakujący wyprowadził około 2,1 miliona dolarów ze starego kontraktu inteligentnego Ethereum.
Aztec Labs poinformowało na X, że "prowadzi dochodzenie w sprawie potencjalnego wykorzystania luki w Aztec Connect". Zespół podał, że z niezmiennego kontraktu platformy wyprowadzono około 2,1 miliona dolarów, ale dodał, że obecni użytkownicy i aktywa Aztec Network nie zostali dotknięci.
Oświadczenie zwróciło uwagę, ponieważ Aztec Connect nie był już aktywnym produktem. Platforma została wycofana w marcu 2023 roku po tym, jak Aztec Labs przeniosło swoje prace na następną wersję swojej sieci prywatności.
Aztec Connect kiedyś umożliwiał użytkownikom dostęp do DeFi poprzez ZK rollup skoncentrowany na prywatności. Wpłaty zostały wstrzymane, gdy system był wycofywany z użycia, a użytkownicy mieli czas na wypłacenie swoich środków ze starej platformy.
Niektóre aktywa pozostały w kontrakcie. Deweloper kryptowalut Param powiedział, że kontrakty później stały się „całkowicie niezmienne” i nie mogły być już ulepszane ani wstrzymywane. Aztec Labs również stwierdziło, że nie posiada kluczy administratora ani kontroli nad starym systemem.
W przeciwieństwie do aktywnego protokołu, stary system Aztec Connect nie miał operatora zdolnego do wstrzymania działalności. To sprawiło, że reakcja zależała od publicznych ostrzeżeń, śledzenia i sprawdzeń przez pozostałych poszkodowanych użytkowników online.
Taka konfiguracja nie pozostawiła prostego sposobu na powstrzymanie exploita, gdy atakujący znalazł ścieżkę. Stary kod nadal znajdował się na Ethereum, a kontrakt nadal zawierał fundusze, mimo że produkt został porzucony.
Zespół Phalcon firmy BlockSec poinformował, że atak celował w kontrakt RollupProcessorV3 Aztec Connect na Ethereum. Firma podała, że straty przekroczyły 2,15 miliona dolarów po podejrzanej aktywności w kontrakcie.
Według BlockSec, problem dotyczył niezgodności między sposobem weryfikacji transakcji a sposobem ich rozliczania na Ethereum. Mówiąc prościej, system dowodowy i logika rozliczeniowa nie odczytywały listy transakcji w ten sam sposób.
Ta luka pozwoliła atakującemu tworzyć salda, które nie były pokryte ważną wartością na Ethereum. Następnie atakujący wypłacił te salda. Ten sam wzorzec powtórzono siedem razy dla kilku aktywów.
Dane CertiK udostępnione na X wymieniają skradzione aktywa, w tym 909 ETH, około 270 000 DAI, 167 stakowanych wrapped ETH oraz mniejsze ilości innych tokenów. Param dodał również, że atakujący zasilił portfel przez Tornado Cash przed atakiem.
Exploit Aztec Connect dodaje się do kolejnego aktywnego miesiąca incydentów bezpieczeństwa DeFi. Tracker włamań DeFiLlama pokazuje kilka strat w czerwcu, w tym 30 milionów dolarów z Humanity Protocol 8 czerwca i 8 milionów dolarów z Syscoin Bridge 7 czerwca.
Jak wcześniej informowało crypto.news, Humanity Protocol podało, że skradziono ponad 36 milionów dolarów po tym, jak atakujący skompromitowali klucze administracyjne powiązane z infrastrukturą mostu między Ethereum a BNB Smart Chain.
Crypto.news poinformowało również, że straty z włamań spadły w maju do 68,3 miliona dolarów, co stanowi spadek o prawie 90% w porównaniu z kwietniem. Mimo to CertiK podało, że wady kodu spowodowały około 45 milionów dolarów strat w maju, co czyniło je największą ścieżką ataku w tym miesiącu.
Przypadek Aztec pokazuje, dlaczego stare kontrakty DeFi pozostają częścią mapy bezpieczeństwa. Nawet po wycofaniu produktu, wszelkie fundusze pozostawione w niezmiennych kontraktach mogą nadal przyciągać atakujących lata później.
