Enquête sur une exploitation d’Aztec Labs
Aztec Labs a annoncé qu’elle menait une enquête sur une éventuelle exploitation affectant un produit de paiement obsolète datant de 2021. Dans un post, l’équipe a indiqué qu’environ 2 millions de dollars avaient été transférés d’un contrat intelligent immuable, comme l’a révélé une transaction sur Etherscan le 17 juin. La société a précisé que le produit concerné était un « rollup immuable de niveau 2 » qui a été arrêté en 2022. Elle a également souligné qu’Aztec Labs ne détient aucune clé d’administration ni contrôle sur le système, ce qui signifie qu’elle ne peut ni suspendre ni mettre à jour l’ancien contrat.
Déclarations de la Fondation Aztec
La Fondation Aztec a déclaré avoir été informée de l’éventuelle exploitation le 17 juin. Dans un post de la Fondation, il a été précisé qu’il n’y avait « aucun lien » entre le produit obsolète et les contrats intelligents liés au réseau actuel ou au jeton AZTEC ERC20. La Fondation a également rappelé que le produit avait été obsolète il y a quatre ans et qu’Aztec Labs ne contrôle plus le système. Elle a dirigé les utilisateurs vers Aztec Labs pour des mises à jour, alors que l’équipe examine la transaction et le contrat affecté.
Incident distinct et problèmes de sécurité
Aztec Labs a indiqué que ce dernier incident est distinct de l’exploitation survenue le 14 juin, impliquant Aztec Connect, un autre produit obsolète. Comme précédemment rapporté par crypto.news, Aztec Connect a perdu 2,1 millions de dollars après qu’un ancien contrat intelligent immuable ait été exploité. Selon un rapport antérieur de crypto.news, l’attaque d’Aztec Connect a été causée par un décalage de vérification qui a permis à des soldes non garantis de circuler à travers les enregistrements de règlement Ethereum. Des entreprises de sécurité ont ensuite retracé le problème à un ancien contrat RollupProcessorV3.
Conséquences pour les produits DeFi
Ce nouveau cas souligne à nouveau un problème auquel sont confrontés les produits DeFi discontinués. Même après l’arrêt d’un produit, ses contrats peuvent rester actifs sur Ethereum. Si des fonds demeurent à l’intérieur de contrats immuables, les attaquants peuvent toujours chercher des moyens de les déplacer, ce qui crée un problème de réponse difficile. Une équipe active peut être en mesure d’avertir les utilisateurs et de suivre les fonds, mais elle peut ne pas être en mesure d’arrêter un ancien contrat qui n’a pas de contrôles administratifs.
Aztec Labs a déclaré qu’elle partagerait d’autres mises à jour « en temps voulu ». Pour l’instant, Aztec Labs et la Fondation Aztec tracent une ligne claire entre l’ancien produit de paiement et le réseau actuel. La principale affirmation des deux groupes est que l’incident concerne un système obsolète, et non le réseau Aztec actif ou le jeton AZTEC.
