Een aanvaller leegde op 14 jun. meer dan $2,1 miljoen uit Aztec Connect door misbruik te maken van een verificatiefout in een privacyprotocol dat drie jaar geleden werd stilgelegd.
Belangrijkste punten:
- Een aanvaller haalde op 14 jun. ongeveer $2,19 miljoen weg bij Aztec Connect, drie jaar nadat het protocol was uit gefaseerd.
- De exploit misbruikte een gat in de proof‑verificatie van het contract, waardoor opnames werden gedekt door saldi waarvoor geen storting bestond.
- Aztec Labs zei dat het geen admin‑sleutels bezit en de onveranderlijke contracts niet kan pauzeren of upgraden.
CertiK signaleert leegtrekken van Aztec Connect
CertiK merkte de verdachte activiteit binnen enkele uren na de aanval op. Het flagged een leegloop uit het RollupProcessorV3‑contract op Ethereum, de kerncomponent van de verouderde bridge. Beveiligingsbedrijf BlockSec bevestigde kort daarna dezelfde inbreuk en vermoedde aanvankelijk een ontbrekende toegangscontrole in de code.
De zwakte zat in de manier waarop het contract de proof‑data controleerde: één pad verifieerde de volledige transactieset, terwijl de settlement‑logica diezelfde data anders read. Door deze mismatch kon de aanvaller waarde crediteren zonder onderliggende dekking, waardoor saldi ontstonden die nooit door een storting werden ondersteund.
De aanvaller voerde de truc in één keer uit over zeven assets. De buit omvatte 909 Ether (ETH), ongeveer 270.000 Dai (DAI), 167 wrapped staked Ether en een handvol rendement‑genererende tokens. On‑chain gegevens traceerden de fondsen naar een nieuwe wallet die eerder was gefinancierd via een mixing‑dienst, een teken dat de actie ruim van tevoren was voorbereid.
Also Read: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
Aztec Labs heeft geen admin‑sleutels
De Aztec Foundation bevestigde het incident kort nadat het alarm was afgegaan en stressed dat de inbreuk de AZTEC (AZTEC)‑token en het live Aztec‑netwerk ongemoeid laat. De token reageerde nauwelijks en handelde de hele dag rond één cent, terwijl de uit gefaseerde bridge, die in 2022 werd gelanceerd, sinds mrt. 2023 stil ligt.
Aztec Labs zei dat het niet kon ingrijpen. De verouderde contracts hebben geen admin‑sleutels, waardoor niemand ze kan pauzeren of upgraden, en ontwikkelaar Param explained dat de code volledig onveranderlijk werd zodra de bridge werd afgebouwd. Onderzoekers volgen de gestolen fondsen nog steeds over het netwerk.
Achtergelaten DeFi‑contracts blijven riskant
De episode onderstreept een probleem waar de sector steeds weer tegenaan loopt: dode protocollen bevatten nog steeds echt geld, lang nadat de teams zijn vertrokken. Onveranderlijke code kan niet worden gepatcht zodra een zwakte aan het licht komt, waardoor deze verlaten systemen, nu vaak zombietcontracts genoemd, jarenlang openstaan voor aanvallen.
De leegloop vormt het sluitstuk van een lastige periode voor on‑chain beveiliging. Exploits hebben deze maand ongeveer $44 miljoen gekost over minstens een dozijn incidenten, waarbij de afgelopen weken verschillende kleinere protocollen zijn getroffen. Dat bedrag volgt op een zware april, toen twee aanvallen alleen al de maandelijkse verliezen boven $625 miljoen dreven en een record vestigden voor het aantal incidenten.
Read Next: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test