Incidente de Seguridad en Aztec Connect
Según Aztec Labs y la firma de seguridad blockchain BlockSec, un atacante explotó una vulnerabilidad en el proceso de verificación de transacciones de la plataforma, lo que le permitió crear y retirar saldos no respaldados. En total, el atacante robó 909 ETH, 270,000 DAI, 167 ETH en staking envueltos y varios otros activos en siete transacciones.
«El domingo, una plataforma de finanzas descentralizadas (DeFi) obsoleta conocida como Aztec Connect sufrió una explotación que resultó en el robo de aproximadamente $2.1 millones en activos digitales.»
Aztec Labs confirmó que estaba investigando el incidente tras descubrir que los fondos habían sido drenados del contrato inteligente de Aztec Connect. La empresa explicó que la explotación solo afectó a la antigua plataforma Aztec Connect y no impactó a los usuarios, fondos o activos de la actual Aztec Network. Según el equipo, aproximadamente $2.1 millones fueron transferidos fuera del contrato durante el ataque.
Detalles de la Explotación
Los investigadores de seguridad blockchain comenzaron rápidamente a analizar la explotación. BlockSec informó que el atacante aprovechó una falla relacionada con el proceso de verificación de transacciones de la plataforma. Específicamente, hubo una discrepancia entre cómo se verificaron las transacciones a través de pruebas de conocimiento cero y cómo se interpretaron y liquidaron finalmente en Ethereum.
Debido a que las transacciones verificadas no estaban correctamente vinculadas al conjunto de transacciones impuesto por el sistema de prueba de conocimiento cero, el atacante pudo manipular la ruta de verificación. Esto permitió que el contrato inteligente reconociera y acreditara valor que en realidad no había sido validado en Ethereum. Como resultado, el atacante creó saldos no respaldados que luego podían ser retirados como activos legítimos. La explotación se repitió siete veces para múltiples activos digitales.
Impacto en el Ecosistema DeFi
Según los investigadores de seguridad, el atacante robó 909 Ethereum (ETH), 270,000 Dai (DAI), 167 Ether en staking envueltos y varias otras criptomonedas. El valor combinado de estos activos totalizó aproximadamente $2.1 millones. Este incidente se suma a la preocupante tendencia de violaciones de seguridad relacionadas con criptomonedas.
Los datos de DeFiLlama muestran que más de $44 millones han sido robados a través de al menos una docena de explotaciones separadas hasta ahora este mes. El incidente más grande involucró a Humanity Protocol, que supuestamente perdió alrededor de $30 millones tras una violación de clave privada. Otro ataque importante tuvo como objetivo el Syscoin Bridge, donde los atacantes supuestamente explotaron un mecanismo de prueba falso para robar aproximadamente $8 millones.
Historia de Aztec Connect
Aztec Connect se lanzó originalmente en 2022 como un puente DeFi enfocado en la privacidad, construido sobre la tecnología de rollup de conocimiento cero de Aztec. Sin embargo, la plataforma fue descontinuada en marzo de 2023, después de que el equipo de desarrollo decidiera cambiar su enfoque hacia la próxima generación de Aztec Network. Se detuvieron los depósitos y el soporte para la plataforma anterior fue efectivamente descontinuado.
Aztec Labs dejó claro que ya no tiene control administrativo sobre los contratos de Aztec Connect. Dado que los contratos inteligentes fueron diseñados para ser completamente inmutables, el equipo no puede pausar, actualizar o modificar los mismos en respuesta a incidentes de seguridad.
