Un attaccante ha drenato oltre 2,1 milioni di dollari da Aztec Connect il 14 giugno, sfruttando un difetto di verifica in un protocollo di privacy chiuso tre anni fa.
Punti chiave:
- Un attaccante ha prelevato circa 2,19 milioni di dollari da Aztec Connect il 14 giugno, tre anni dopo la chiusura del protocollo.
- L’exploit ha sfruttato un difetto nella verifica delle prove del contratto, consentendo prelievi basati su saldi non supportati da alcun deposito.
- Aztec Labs ha dichiarato di non detenere chiavi di amministrazione e di non poter mettere in pausa o aggiornare i contratti immutabili.
CertiK segnala il drain di Aztec Connect
CertiK ha individuato l’attività sospetta poche ore dopo l’attacco. Ha segnalato un drain dal contratto RollupProcessorV3 su Ethereum, il componente centrale del vecchio bridge. La società di sicurezza BlockSec ha confermato lo stesso breach poco dopo e ha inizialmente ipotizzato un controllo degli accessi mancante nel codice.
Il punto debole riguardava il modo in cui il contratto controllava i dati di prova, con un percorso che verificava l’intero set di transazioni mentre la logica di regolamento leggeva gli stessi dati in modo diverso. Questo disallineamento ha permesso all’attaccante di accreditare valore senza alcuna copertura reale, producendo saldi che nessun deposito aveva mai sostenuto.
L’attaccante ha eseguito il trucco su sette asset in un’unica operazione. Il bottino comprendeva 909 Ether (ETH), circa 270.000 Dai (DAI), 167 wrapped staked Ether e alcuni token a rendimento. Le registrazioni on-chain hanno collegato i fondi a un nuovo wallet finanziato in precedenza tramite un servizio di mixing, segno che l’operazione era stata preparata con largo anticipo.
Leggi anche: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
Aztec Labs non detiene chiavi di amministrazione
La Aztec Foundation ha confermato l’incidente poco dopo il primo allarme e ha ribadito che la violazione non ha toccato il token AZTEC (AZTEC) né la rete Aztec attiva. Il token ha quasi ignorato la notizia, restando scambiato intorno a un centesimo per tutta la giornata, mentre il bridge dismesso, lanciato nel 2022, è inattivo da marzo 2023.
Aztec Labs ha dichiarato di non poter intervenire. I contratti deprecati non hanno chiavi di amministrazione, quindi nessuno può metterli in pausa o aggiornarli, e lo sviluppatore Param ha spiegato che il codice è diventato completamente immutabile una volta chiuso il bridge. Gli investigatori stanno ancora tracciando i fondi rubati sulla rete.
I contratti DeFi abbandonati restano rischiosi
L’episodio evidenzia un problema che il settore continua a riscoprire: i protocolli morti possono conservare molto denaro anche dopo che i team si sono spostati altrove. Il codice immutabile non può essere aggiornato quando emerge una vulnerabilità, lasciando questi sistemi abbandonati, ormai definiti contratti zombie, esposti agli attacchi per anni.
Il drain conclude un periodo difficile per la sicurezza on-chain. Gli exploit di questo mese sono costati circa 44 milioni di dollari in almeno una dozzina di incidenti, con diversi protocolli minori colpiti nelle ultime settimane. Questo bilancio segue un aprile brutale, in cui due soli attacchi hanno portato le perdite mensili oltre i 625 milioni di dollari e fissato un record per numero di incidenti.
Leggi dopo: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test