Ein Angreifer zog am 14. Juni mehr als 2,1 Millionen Dollar aus Aztec Connect ab, indem er eine Verifikationslücke in einem Privacy‑Protokoll ausnutzte, das vor drei Jahren stillgelegt wurde.
Wichtigste Punkte:
- Ein Angreifer entnahm am 14. Juni rund 2,19 Millionen Dollar aus Aztec Connect, drei Jahre nachdem das Protokoll außer Betrieb genommen worden war.
- Der Exploit nutzte eine Lücke in der Proof‑Verifikation des Contracts aus, sodass Abhebungen auf Guthaben zugreifen konnten, denen keine Einzahlungen gegenüberstanden.
- Aztec Labs erklärte, dass es keine Admin‑Keys besitzt und die unveränderlichen Contracts weder pausieren noch upgraden kann.
CertiK meldet Aztec‑Connect‑Abfluss
CertiK bemerkte die verdächtige Aktivität innerhalb weniger Stunden nach dem Angriff. Es flagged einen Abfluss aus dem RollupProcessorV3‑Contract auf Ethereum, der Kernkomponente der veralteten Bridge. Das Sicherheitsunternehmen BlockSec bestätigte kurz darauf denselben Vorfall und vermutete zunächst eine fehlende Zugriffskontrolle im Code.
Die Schwachstelle lag darin, wie der Contract die Proof‑Daten prüfte: Ein Pfad verifizierte den vollständigen Transaktionssatz, während die Settlement‑Logik dieselben Daten anders read auslas. Diese Diskrepanz ermöglichte es dem Angreifer, Wert zu gutschreiben, ohne dass dahinter echte Einzahlungen standen, sodass Guthaben entstanden, die nie durch Deposits gedeckt waren.
Der Angreifer wandte den Trick in einem einzigen Durchgang auf sieben Assets an. Die Beute umfasste 909 Ether (ETH), rund 270.000 Dai (DAI), 167 Wrapped Staked Ether und einige renditebringende Token. On‑Chain‑Daten verfolgten die Gelder zu einer frischen Wallet, die zuvor über einen Mixing‑Dienst finanziert worden war – ein Zeichen dafür, dass der Angriff lange im Voraus vorbereitet wurde.
Also Read: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
Aztec Labs besitzt keine Admin‑Keys
Die Aztec Foundation bestätigte den Vorfall kurz nach dem Bekanntwerden und stressed, dass die Sicherheitsverletzung den AZTEC (AZTEC)-Token und das aktive Aztec‑Netzwerk unberührt lässt. Der Token reagierte kaum und handelte den Tag über nahe einem Cent, während die 2022 gestartete, inzwischen stillgelegte Bridge seit März 2023 brachliegt.
Aztec Labs erklärte, man könne nicht eingreifen. Die veralteten Contracts verfügen über keine Admin‑Keys, sodass niemand sie pausieren oder upgraden kann, und Entwickler Param explained, dass der Code vollständig unveränderlich wurde, sobald die Bridge heruntergefahren war. Ermittler verfolgen die gestohlenen Gelder weiterhin über das Netzwerk.
Aufgegebene DeFi‑Contracts bleiben riskant
Der Vorfall unterstreicht ein Problem, das die Branche immer wieder neu lernt: Tote Protokolle verwahren noch echtes Geld, lange nachdem ihre Teams weitergezogen sind. Unveränderlicher Code kann nach Bekanntwerden einer Schwachstelle nicht mehr gepatcht werden, wodurch diese aufgegebenen Systeme, die inzwischen oft Zombie‑Contracts genannt werden, über Jahre hinweg angreifbar bleiben.
Der Abfluss markiert den Abschluss einer harten Phase für die On‑Chain‑Sicherheit. Allein in diesem Monat haben Exploits rund 44 Millionen Dollar über mindestens ein Dutzend Vorfälle gekostet, wobei mehrere kleinere Protokolle in den letzten Wochen getroffen wurden. Diese Summe folgt auf einen brutalen April, in dem zwei Angriffe die monatlichen Verluste auf mehr als 625 Millionen Dollar trieben und einen Rekord bei der Zahl der Vorfälle aufstellten.
Read Next: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test