Een aanvaller heeft op 14 juni meer dan $2,1 miljoen leeggetrokken uit Aztec Connect door een verificatiefout uit te buiten in een privacyprotocol dat drie jaar geleden werd stilgelegd.
Belangrijkste punten:
- Een aanvaller haalde op 14 juni ongeveer $2,19 miljoen weg bij Aztec Connect, drie jaar nadat het protocol was uitgefaseerd.
- De exploit misbruikte een gat in de proof‑verificatie van het contract, waardoor opnames konden steunen op saldi zonder bijbehorende storting.
- Aztec Labs verklaarde dat het geen admin‑sleutels bezit en de onveranderlijke contracts niet kan pauzeren of upgraden.
CertiK signaleert leegtrekken van Aztec Connect
CertiK ontdekte de verdachte activiteit binnen enkele uren na de aanval. Het flagged een leegloop uit het RollupProcessorV3‑contract op Ethereum, de kerncomponent van de verouderde brug. Beveiligingsbedrijf BlockSec bevestigde kort daarna dezelfde inbreuk en vermoedde aanvankelijk een ontbrekende toegangscontrole in de code.
De zwakte zat in de manier waarop het contract proof‑data controleerde: één pad verifieerde de volledige transactie‑set, terwijl de afwikkellogica read dezelfde data op een andere manier las. Door die mismatch kon de aanvaller waarde crediteren zonder onderliggende storting, wat saldi opleverde die nooit door een deposit waren gedekt.
De aanvaller voerde de truc in één keer uit over zeven assets. De buit bestond onder meer uit 909 Ether (ETH), ongeveer 270.000 Dai (DAI), 167 wrapped staked Ether en een handvol yield‑genererende tokens. On‑chaingegevens traceerden de fondsen naar een nieuwe wallet die eerder was gefinancierd via een mixing‑dienst, een teken dat de actie ruim van tevoren was voorbereid.
Also Read: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
Aztec Labs heeft geen admin‑sleutels
De Aztec Foundation bevestigde het incident kort nadat het alarm afging en stressed dat de inbreuk het AZTEC (AZTEC)-token en het live Aztec‑netwerk ongemoeid laat. De token reageerde nauwelijks en handelde de dag rond één cent, terwijl de uitgefaseerde brug, die in 2022 werd gelanceerd, sinds maart 2023 inactief is.
Aztec Labs gaf aan niet te kunnen ingrijpen. De verouderde contracts hebben geen admin‑sleutels, waardoor niemand ze kan pauzeren of upgraden, en ontwikkelaar Param explained dat de code volledig onveranderlijk werd zodra de brug werd afgebouwd. Onderzoekers volgen de gestolen fondsen nog steeds over het netwerk.
Verlaten DeFi‑contracts blijven risicovol
De gebeurtenis benadrukt een probleem waar de sector telkens opnieuw tegenaan loopt: dode protocollen houden vaak nog echt geld vast, lang nadat de teams zijn vertrokken. Onveranderlijke code kan niet worden gepatcht zodra een zwakte aan het licht komt, waardoor deze verlaten systemen – vaak zombie‑contracts genoemd – jarenlang kwetsbaar blijven voor aanvallen.
De leegloop sluit een lastige periode af voor on‑chain‑beveiliging. Exploits hebben deze maand ongeveer $44 miljoen gekost, verspreid over minstens een dozijn incidenten, waarbij verschillende kleinere protocollen recentelijk zijn getroffen. Dat volgt op een zware aprilmaand, waarin twee aanvallen samen al meer dan $625 miljoen aan verliezen veroorzaakten en een record vestigden voor het aantal incidenten.
Read Next: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test