Krypto-Exploit bei Aztec Connect
Laut Aztec Labs und der Blockchain-Sicherheitsfirma BlockSec hat der Angreifer eine Schwachstelle im Transaktionsverifizierungsprozess der Plattform ausgenutzt, die es ihm ermöglichte, nicht gedeckte Salden zu erstellen und abzuheben. Am Sonntag erlitt die veraltete dezentrale Finanzplattform (DeFi) Aztec Connect einen Krypto-Exploit, der zum Diebstahl digitaler Vermögenswerte im Wert von etwa 2,1 Millionen Dollar führte.
Untersuchung des Vorfalls
Aztec Labs bestätigte, dass es den Vorfall untersucht, nachdem festgestellt wurde, dass Gelder aus dem Smart Contract von Aztec Connect abgezogen wurden. Das Unternehmen erklärte, dass der Exploit ausschließlich die ältere Aztec Connect-Plattform betroffen hat und keine Auswirkungen auf Benutzer, Gelder oder Vermögenswerte im aktuellen Aztec Network hatte.
Details des Exploits
Laut dem Team wurden während des Angriffs etwa 2,1 Millionen Dollar aus dem Vertrag transferiert. Blockchain-Sicherheitsforscher begannen schnell mit der Analyse des Exploits. Die Sicherheitsfirma BlockSec berichtete, dass der Angreifer eine Schwachstelle im Zusammenhang mit dem Transaktionsverifizierungsprozess der Plattform ausnutzte. Genauer gesagt gab es eine Diskrepanz zwischen der Art und Weise, wie Transaktionen durch Zero-Knowledge-Proofs verifiziert wurden, und wie sie letztendlich auf Ethereum interpretiert und abgewickelt wurden.
Da verifizierte Transaktionen nicht ordnungsgemäß an das Transaktionsset gebunden waren, das durch das Zero-Knowledge-Proof-System durchgesetzt wurde, konnte der Angreifer den Verifizierungspfad manipulieren. Dies ermöglichte es dem Smart Contract, Werte zu erkennen und zu gutschreiben, die tatsächlich nicht auf Ethereum validiert worden waren. Infolgedessen schuf der Angreifer nicht gedeckte Salden, die später als legitime Vermögenswerte abgehoben werden konnten.
Gestohlene Vermögenswerte
Der Exploit wurde in sieben Transaktionen für mehrere digitale Vermögenswerte wiederholt. Laut Sicherheitsforschern stahl der Angreifer 909 Ethereum (ETH), 270.000 Dai (DAI), 167 Wrapped Staked Ether und mehrere andere Kryptowährungen. Der Gesamtwert dieser Vermögenswerte betrug etwa 2,1 Millionen Dollar.
Besorgniserregender Trend
Der Vorfall ist Teil eines besorgniserregenden Trends sicherheitsbezogener Krypto-Vorfälle. Daten von DeFiLlama zeigen, dass in diesem Monat bereits mehr als 44 Millionen Dollar durch mindestens ein Dutzend separater Exploits gestohlen wurden. Der größte Vorfall betraf das Humanity Protocol, das Berichten zufolge etwa 30 Millionen Dollar nach einem Kompromiss des privaten Schlüssels verlor. Ein weiterer großer Angriff zielte auf die Syscoin Bridge ab, wo Angreifer angeblich einen gefälschten Nachweismechanismus ausnutzten, um etwa 8 Millionen Dollar zu stehlen.
Über Aztec Connect
Aztec Connect wurde ursprünglich 2022 als eine auf Datenschutz fokussierte DeFi-Brücke entwickelt, die auf der Zero-Knowledge-Rollup-Technologie von Aztec basiert. Die Plattform wurde jedoch im März 2023 eingestellt, nachdem das Entwicklungsteam seinen Fokus auf das nächste Generation Aztec Network verlagert hatte. Einzahlungen wurden gestoppt und die Unterstützung für die ältere Plattform wurde effektiv eingestellt.
Aztec Labs machte deutlich, dass es keine administrative Kontrolle mehr über die Aztec Connect-Verträge hat. Da die Smart Contracts so konzipiert wurden, dass sie vollständig unveränderlich sind, kann das Team sie nicht pausieren, aktualisieren oder ändern, um auf Sicherheitsvorfälle zu reagieren.
