Seorang penyerang menguras lebih dari $2,1 juta dari Aztec Connect pada 14 Jun, dengan mengeksploitasi cacat verifikasi di protokol privasi yang sudah ditutup tiga tahun lalu.
Poin Utama:
- Seorang penyerang menarik sekitar $2,19 juta dari Aztec Connect pada 14 Jun, tiga tahun setelah protokol itu dihentikan.
- Eksploitasi tersebut memanfaatkan celah dalam verifikasi bukti kontrak, yang memungkinkan penarikan menggunakan saldo yang tidak didukung setoran mana pun.
- Aztec Labs mengatakan mereka tidak memegang kunci admin dan tidak dapat menghentikan atau meningkatkan kontrak yang tidak dapat diubah tersebut.
CertiK Menandai Pengurasan Aztec Connect
CertiK mendeteksi aktivitas mencurigakan dalam beberapa jam setelah serangan. Mereka menandai pengurasan dari kontrak RollupProcessorV3 di Ethereum, komponen inti jembatan yang sudah tidak digunakan itu. Perusahaan keamanan lain, BlockSec, segera mengonfirmasi pelanggaran yang sama dan awalnya menduga adanya kontrol akses yang hilang dalam kode.
Kelemahan tersebut berada pada cara kontrak memeriksa data bukti, dengan satu jalur memverifikasi keseluruhan set transaksi sementara logika penyelesaian membaca data yang sama dengan cara berbeda. Ketidaksesuaian ini memungkinkan penyerang mengkredit nilai tanpa dukungan apa pun di belakangnya, sehingga menghasilkan saldo yang tidak pernah didukung setoran.
Penyerang menjalankan trik itu pada tujuh aset dalam satu aksi sapuan. Hasil rampasan mencakup 909 Ether (ETH), sekitar 270.000 Dai (DAI), 167 wrapped staked Ether dan beberapa token penghasil imbal hasil. Catatan on-chain menelusuri dana tersebut ke dompet baru yang sebelumnya dibiayai melalui layanan mixing, tanda bahwa aksi ini telah dipersiapkan jauh hari.
Also Read: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
Aztec Labs Tidak Memegang Kunci Admin
Aztec Foundation mengonfirmasi insiden itu tak lama setelah peringatan muncul, dan mereka menegaskan bahwa pelanggaran ini tidak memengaruhi token AZTEC (AZTEC) maupun jaringan Aztec yang masih aktif. Harga token hampir tidak bergerak, diperdagangkan sekitar satu sen sepanjang hari, sementara jembatan yang sudah dihentikan, yang pertama kali diluncurkan pada 2022, telah tidak aktif sejak Mar 2023.
Aztec Labs mengatakan mereka tidak dapat turun tangan. Kontrak yang dihentikan tersebut tidak memiliki kunci admin, sehingga tidak ada pihak yang bisa menghentikan atau meningkatkan kontrak, dan pengembang Param menjelaskan bahwa kode menjadi sepenuhnya tidak dapat diubah setelah jembatan itu ditutup. Penyelidik masih menelusuri dana curian di seluruh jaringan.
Kontrak DeFi Terbengkalai Tetap Berisiko
Kejadian ini menyoroti masalah yang terus berulang di industri, karena protokol yang sudah mati tetap menyimpan uang sungguhan lama setelah timnya beranjak. Kode yang tidak dapat diubah tidak bisa ditambal setelah kelemahan muncul, sehingga sistem-sistem yang ditinggalkan ini, yang kini sering disebut kontrak zombie, terbuka terhadap serangan selama bertahun-tahun.
Pengurasan ini menutup periode berat bagi keamanan on-chain. Eksploitasi bulan ini telah menelan biaya sekitar $44 juta di setidaknya selusin insiden, dengan beberapa protokol kecil terkena dalam beberapa minggu terakhir. Angka tersebut menyusul April yang brutal, ketika dua serangan saja mendorong kerugian bulanan melampaui $625 juta dan mencetak rekor jumlah insiden.
Read Next: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test