Un attaccante ha prosciugato oltre 2,1 milioni di dollari da Aztec Connect il 14 giugno, sfruttando un difetto di verifica in un protocollo di privacy chiuso tre anni fa.
Punti chiave:
- Un attaccante ha prelevato circa 2,19 milioni di dollari da Aztec Connect il 14 giugno, tre anni dopo il ritiro del protocollo.
- L’exploit ha sfruttato una lacuna nella verifica delle prove del contratto, consentendo prelievi basati su saldi non coperti da alcun deposito.
- Aztec Labs ha dichiarato di non detenere chiavi di amministrazione e di non poter mettere in pausa o aggiornare i contratti immutabili.
CertiK segnala il drain su Aztec Connect
CertiK ha individuato l’attività sospetta poche ore dopo l’attacco. Ha segnalato un drain dal contratto RollupProcessorV3 su Ethereum, il componente principale del bridge deprecato. La società di sicurezza BlockSec ha confermato poco dopo la stessa violazione e inizialmente ha ipotizzato un controllo degli accessi mancante nel codice.
La vulnerabilità risiedeva nel modo in cui il contratto controllava i dati di prova: un percorso verificava l’intero set di transazioni, mentre la logica di regolamento leggeva gli stessi dati in modo diverso. Questa discrepanza ha permesso all’attaccante di accreditare valore senza alcuna copertura, generando saldi non supportati da depositi reali.
L’attaccante ha eseguito il trucco su sette asset in un’unica operazione. Il bottino includeva 909 Ether (ETH), circa 270.000 Dai (DAI), 167 wrapped staked Ether e alcuni token a rendimento. Le registrazioni on-chain hanno rintracciato i fondi verso un nuovo wallet finanziato in precedenza tramite un servizio di mixing, segno che l’operazione era stata preparata con largo anticipo.
Leggi anche: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
Aztec Labs non detiene chiavi di amministrazione
La Aztec Foundation ha confermato l’incidente poco dopo il primo allarme e ha sottolineato che la violazione non ha intaccato il token AZTEC (AZTEC) né la rete Aztec attiva. Il token ha quasi ignorato la notizia, restando scambiato intorno a un centesimo per tutta la giornata, mentre il bridge ritirato, lanciato nel 2022, è inattivo da marzo 2023.
Aztec Labs ha dichiarato di non poter intervenire. I contratti deprecati non hanno chiavi di amministrazione, quindi nessuno può metterli in pausa o aggiornarli, e lo sviluppatore Param ha spiegato che il codice è diventato completamente immutabile una volta che il bridge è stato chiuso. Gli investigatori stanno ancora tracciando i fondi rubati sulla rete.
I contratti DeFi abbandonati restano rischiosi
L’episodio evidenzia un problema che il settore continua a rivivere: i protocolli “morti” possono conservare ingenti somme di denaro molto tempo dopo che i team li hanno abbandonati. Il codice immutabile non può essere corretto una volta emersa una vulnerabilità, lasciando questi sistemi abbandonati, spesso chiamati contratti zombie, esposti ad attacchi per anni.
Il drain corona un periodo difficile per la sicurezza on-chain. Gli exploit di questo mese sono costati circa 44 milioni di dollari in almeno una dozzina di incidenti, con diversi protocolli minori colpiti nelle ultime settimane. Questo bilancio segue un aprile brutale, quando due soli attacchi hanno spinto le perdite mensili oltre i 625 milioni di dollari, stabilendo un record per numero di incidenti.
Da leggere dopo: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test