Incident de sécurité sur Aztec Connect
Selon Aztec Labs et la société de sécurité blockchain BlockSec, un attaquant a exploité une faille dans le processus de vérification des transactions de la plateforme Aztec Connect, permettant ainsi de créer et de retirer des soldes non garantis. Lors de cet exploit, l’attaquant a dérobé 909 ETH, 270 000 DAI, 167 ETH stakés enveloppés, ainsi que plusieurs autres actifs à travers sept transactions distinctes.
Dimanche, cette plateforme de finance décentralisée (DeFi) obsolète a subi un vol d’environ 2,1 millions de dollars d’actifs numériques. Aztec Labs a confirmé qu’elle enquêtait sur l’incident après avoir constaté que des fonds avaient été drainés du contrat intelligent d’Aztec Connect. La société a précisé que l’exploit n’a touché que l’ancienne plateforme et n’a pas affecté les utilisateurs, les fonds ou les actifs sur le réseau Aztec actuel.
Analyse de l’exploit
Selon l’équipe, environ 2,1 millions de dollars ont été transférés hors du contrat pendant l’attaque. Les chercheurs en sécurité blockchain ont rapidement commencé à analyser l’exploit. BlockSec a rapporté que l’attaquant a profité d’une faille dans le processus de vérification des transactions. Plus précisément, il existait un décalage entre la manière dont les transactions étaient vérifiées par des preuves à divulgation nulle de connaissance et la manière dont elles étaient finalement interprétées et réglées sur Ethereum.
En raison de ce décalage, les transactions vérifiées n’étaient pas correctement liées à l’ensemble de transactions imposé par le système de preuve à divulgation nulle de connaissance, permettant à l’attaquant de manipuler le chemin de vérification. Cela a conduit le contrat intelligent à reconnaître et à créditer une valeur qui n’avait en réalité pas été validée sur Ethereum. En conséquence, l’attaquant a pu créer des soldes non garantis pouvant être retirés comme des actifs légitimes. L’exploit a été répété sept fois pour plusieurs actifs numériques.
Les chercheurs en sécurité ont confirmé que l’attaquant avait volé 909 Ethereum (ETH), 270 000 Dai (DAI), 167 Ether stakés enveloppés, ainsi que d’autres cryptomonnaies, pour une valeur totale d’environ 2,1 millions de dollars.
Tendances des violations de sécurité
Cet incident s’inscrit dans une tendance préoccupante des violations de sécurité liées aux cryptomonnaies. Les données de DeFiLlama indiquent que plus de 44 millions de dollars ont été volés à travers au moins une douzaine d’exploits distincts jusqu’à présent ce mois-ci. Le plus grand incident a concerné Humanity Protocol, qui aurait perdu environ 30 millions de dollars suite à une compromission de clé privée. Une autre attaque majeure a ciblé le Syscoin Bridge, où les attaquants auraient exploité un mécanisme de preuve falsifié pour voler environ 8 millions de dollars.
Contexte d’Aztec Connect
Aztec Connect a été lancé à l’origine en 2022 en tant que pont DeFi axé sur la confidentialité, construit sur la technologie de rollup à divulgation nulle de connaissance d’Aztec. Cependant, la plateforme a été dépréciée en mars 2023, lorsque l’équipe de développement a décidé de se concentrer sur le réseau Aztec de nouvelle génération. Les dépôts ont été suspendus et le support pour l’ancienne plateforme a été effectivement interrompu.
Aztec Labs a clairement indiqué qu’elle n’a plus de contrôle administratif sur les contrats d’Aztec Connect. Étant donné que les contrats intelligents ont été conçus pour être entièrement immuables, l’équipe ne peut pas les mettre en pause, les mettre à jour ou les modifier en réponse à des incidents de sécurité.
