Um atacante drenou mais de US$ 2,1 milhões da Aztec Connect em 14 de junho, explorando uma falha de verificação em um protocolo de privacidade que havia sido encerrado três anos atrás.
Pontos-chave:
- Um atacante retirou cerca de US$ 2,19 milhões da Aztec Connect em 14 de junho, três anos depois de o protocolo ter sido desativado.
- A exploração abusou de uma brecha na verificação de provas do contrato, permitindo que saques utilizassem saldos sem nenhum depósito de lastro.
- A Aztec Labs afirmou que não possui chaves de administrador e não pode pausar ou atualizar os contratos imutáveis.
CertiK sinaliza drenagem da Aztec Connect
CertiK detectou a atividade suspeita poucas horas após o ataque. Ela flagged uma drenagem do contrato RollupProcessorV3 na Ethereum, o principal componente da ponte descontinuada. A empresa de segurança BlockSec confirmou a mesma violação logo depois e inicialmente suspeitou de um controle de acesso ausente no código.
A fraqueza estava em como o contrato verificava os dados de prova: um caminho validava o conjunto completo de transações enquanto a lógica de liquidação read esses mesmos dados de forma diferente. A inconsistência permitiu que o atacante creditasse valor sem nada por trás, criando saldos que nenhum depósito jamais sustentou.
O atacante repetiu o truque em sete ativos em um único movimento. O saque incluiu 909 Ether (ETH), cerca de 270.000 Dai (DAI), 167 wrapped staked Ether e alguns tokens geradores de rendimento. Registros on-chain rastrearam os fundos até uma carteira nova, financiada anteriormente por um serviço de mixagem, sinal de que a ação foi preparada com bastante antecedência.
Also Read: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
Aztec Labs não possui chaves de admin
A Aztec Foundation confirmou o incidente pouco depois do alerta e stressed que a violação não afetou o token AZTEC (AZTEC) nem a rede Aztec ativa. O token mal reagiu, negociando perto de um centavo ao longo do dia, enquanto a ponte desativada, lançada pela primeira vez em 2022, permanece inativa desde março de 2023.
A Aztec Labs afirmou que não podia intervir. Os contratos descontinuados não possuem chaves de administrador, de forma que ninguém pode pausá-los ou atualizá-los, e o desenvolvedor Param explained que o código se tornou totalmente imutável quando a ponte foi encerrada. Investigadores continuam rastreando os fundos roubados pela rede.
Contratos DeFi abandonados continuam arriscados
O episódio destaca um problema que o setor continua redescobrindo: protocolos mortos ainda mantêm dinheiro real muito tempo depois de suas equipes seguirem em frente. Código imutável não pode ser corrigido quando uma vulnerabilidade vem à tona, deixando esses sistemas abandonados, agora amplamente chamados de contratos zumbis, expostos a ataques por anos.
A drenagem encerra um período difícil para a segurança on-chain. Explorações neste mês custaram cerca de US$ 44 milhões em pelo menos uma dúzia de incidentes, com vários protocolos menores atingidos nas últimas semanas. Esse total segue um abril brutal, quando apenas dois ataques levaram as perdas mensais para mais de US$ 625 milhões e estabeleceram um recorde em número de incidentes.
Read Next: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test