Seorang penyerang menguras lebih dari $2,1 juta dari Aztec Connect pada 14 Jun, dengan mengeksploitasi celah verifikasi di protokol privasi yang sudah ditutup tiga tahun lalu.
Poin Utama:
- Seorang penyerang menarik sekitar $2,19 juta dari Aztec Connect pada 14 Jun, tiga tahun setelah protokol tersebut dihentikan.
- Eksploitasi ini memanfaatkan celah dalam verifikasi bukti kontrak, sehingga penarikan bisa mengambil saldo yang tidak didukung setoran apa pun.
- Aztec Labs mengatakan mereka tidak memegang kunci admin dan tidak dapat menjeda atau meng-upgrade kontrak yang tidak dapat diubah itu.
CertiK Menandai Pengurasan Aztec Connect
CertiK mendeteksi aktivitas mencurigakan dalam hitungan jam setelah serangan. Mereka menandai pengurasan dari kontrak RollupProcessorV3 di Ethereum, komponen inti jembatan yang sudah usang itu. Perusahaan keamanan lain, BlockSec, segera mengonfirmasi pelanggaran yang sama dan awalnya menduga adanya kontrol akses yang hilang di dalam kode.
Kelemahan tersebut terletak pada cara kontrak memeriksa data bukti, dengan satu jalur memverifikasi seluruh set transaksi sementara logika penyelesaian membaca data yang sama dengan cara berbeda. Ketidaksesuaian ini memungkinkan penyerang mengkreditkan nilai tanpa dukungan apa pun, menghasilkan saldo yang tidak pernah ditopang setoran.
Penyerang menjalankan trik ini pada tujuh aset dalam satu kali sapuan. Hasil curian mencakup 909 Ether (ETH), sekitar 270.000 Dai (DAI), 167 wrapped staked Ether dan sejumlah kecil token penghasil imbal hasil. Catatan on-chain menelusuri dana tersebut ke wallet baru yang sebelumnya dibiayai lewat layanan mixing, tanda bahwa langkah ini dipersiapkan jauh-jauh hari.
Juga Baca: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
Aztec Labs Tidak Memegang Kunci Admin
Aztec Foundation mengonfirmasi insiden ini tak lama setelah peringatan muncul, dan mereka menegaskan bahwa pelanggaran tersebut tidak memengaruhi token AZTEC (AZTEC) maupun jaringan Aztec yang masih aktif. Token itu hampir tidak bereaksi, tetap diperdagangkan mendekati satu sen sepanjang hari, sementara jembatan yang sudah pensiun, yang pertama kali diluncurkan tahun 2022, telah tidak aktif sejak Mar 2023.
Aztec Labs mengatakan mereka tidak bisa turun tangan. Kontrak yang sudah usang tersebut tidak memiliki kunci admin, sehingga tidak ada yang bisa menjeda atau meng-upgrade-nya, dan pengembang Param menjelaskan bahwa kode itu menjadi sepenuhnya immutable begitu jembatan dihentikan. Para penyelidik masih melacak dana yang dicuri di seluruh jaringan.
Kontrak DeFi Terbengkalai Tetap Berisiko
Peristiwa ini menegaskan kembali masalah yang terus berulang di industri, karena protokol yang sudah mati masih menyimpan uang nyata lama setelah timnya berpindah. Kode yang immutable tidak dapat ditambal setelah kelemahan muncul, sehingga sistem-sistem yang ditinggalkan ini, yang kini banyak disebut kontrak zombie, terbuka terhadap serangan selama bertahun-tahun.
Pengurasan ini menutup periode berat bagi keamanan on-chain. Eksploitasi bulan ini telah menelan sekitar $44 juta di setidaknya selusin insiden, dengan beberapa protokol kecil ikut terkena dalam beberapa minggu terakhir. Angka tersebut mengikuti April yang brutal, ketika dua serangan saja mendorong total kerugian bulanan melampaui $625 juta dan mencetak rekor jumlah insiden.
Baca Selanjutnya: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test