Um invasor drenou mais de US$ 2,1 milhões da Aztec Connect em 14 de junho, explorando uma falha de verificação em um protocolo de privacidade que havia sido encerrado três anos atrás.
Pontos principais:
- Um invasor retirou cerca de US$ 2,19 milhões da Aztec Connect em 14 de junho, três anos após o protocolo ter sido desativado.
- O exploit explorou uma brecha na verificação de provas do contrato, permitindo que saques utilizassem saldos sem nenhum depósito correspondente.
- A Aztec Labs afirmou que não possui chaves de administrador e não pode pausar ou atualizar os contratos imutáveis.
CertiK sinaliza drenagem na Aztec Connect
CertiK identificou a atividade suspeita poucas horas após o ataque. Ela sinalizou uma drenagem do contrato RollupProcessorV3 na Ethereum, o principal componente da ponte descontinuada. A empresa de segurança BlockSec confirmou a mesma violação pouco depois e inicialmente suspeitou de um controle de acesso ausente no código.
A fraqueza estava na forma como o contrato verificava os dados de prova, com um caminho validando o conjunto completo de transações enquanto a lógica de liquidação lia esses mesmos dados de forma diferente. A divergência permitiu ao invasor creditar valor sem nada por trás, gerando saldos que nenhum depósito havia suportado.
O invasor aplicou o truque em sete ativos em uma única investida. O saque incluiu 909 Ether (ETH), cerca de 270.000 Dai (DAI), 167 Ether em staking envelopado e alguns tokens com rendimento. Registros on-chain rastrearam os fundos até uma nova carteira financiada anteriormente por meio de um serviço de mixagem, sinal de que o movimento foi preparado com antecedência.
Também leia: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
Aztec Labs não possui chaves de administrador
A Aztec Foundation confirmou o incidente pouco depois do alerta e ressaltou que a violação não afeta o token AZTEC (AZTEC) nem a rede Aztec em produção. O token quase não reagiu, permanecendo perto de US$ 0,01 ao longo do dia, enquanto a ponte aposentada, lançada originalmente em 2022, está inativa desde março de 2023.
A Aztec Labs afirmou que não poderia intervir. Os contratos descontinuados não possuem chaves de administrador, portanto ninguém pode pausá-los ou atualizá-los, e o desenvolvedor Param explicou que o código se tornou totalmente imutável quando a ponte foi encerrada. Investigadores ainda estão rastreando os fundos roubados pela rede.
Contratos DeFi abandonados continuam arriscados
O episódio ressalta um problema que o setor continua reaprendendo: protocolos mortos ainda mantêm dinheiro real muito tempo depois de suas equipes seguirem em frente. Código imutável não pode ser corrigido quando uma falha aparece, o que deixa esses sistemas abandonados, agora amplamente chamados de contratos zumbis, expostos a ataques por anos.
A drenagem encerra um período difícil para a segurança on-chain. Exploits neste mês já custaram cerca de US$ 44 milhões em pelo menos uma dúzia de incidentes, com diversos protocolos menores atingidos nas últimas semanas. Esse total vem após um abril brutal, quando apenas dois ataques levaram as perdas mensais a mais de US$ 625 milhões e estabeleceram um recorde em número de incidentes.
Leia a seguir: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test