Una vulnerabilidad en Aztec Connect provoca el robo de 2,1 millones de dólares del puente zk-rollup obsoleto en Ethereum
Según informes,tracinteligente de Aztec Connect ha perdido 2,1 millones de dólares después de que un atacante aprovechara una vulnerabilidad de verificación en el puente de privacidad que se había desactivado hace tres años. Este ataque presenta una particularidad: según el equipo de Aztec Labs, la vulnerabilidad está fuera del alcance de cualquier parche.
Según la empresa de seguridad blockchain BlockSec, que detectó la transacción sospechosa a través de su sistema de monitorización Phalcon, los fondos robados incluían aproximadamente 909 ETH, 270.000 DAI y 167 wstETH.
Antes de que Aztec Labs lo descontinuara en marzo de 2023, Aztec Connect era un puente zk-rollup que permitía a los usuarios interactuar con DeFi protocolos Aave y Lido, protegiendo los detalles de las transacciones mediante pruebas de conocimiento cero. Aztec Labs dejó de ejecutar su secuenciador en marzo de 2024.
El token AZTEC ha subido más del 5% en el momento de la publicación del informe de Cryptoplitan.
¿Cuál fue la vulnerabilidad que permitió al atacante explotar Aztec Connect?
El fallo se debió a una discrepancia en el límite entre el conjunto de transacciones verificadas y el procesamiento de liquidación L1, según el análisis de BlockSec Phalcon sobre X.
Según la empresa de seguridad CertiK, el fallo consistió en una validación incompleta de los datos de prueba presentados.
Una funcióntracsolo verificaba el comienzo de la prueba, mientras que las instrucciones de transferencia de tokens incrustadas en otro lugar no se verificaban, y esto fue lo que permitió al atacante manipular los retiros.
¿Cuál es la respuesta de Aztec Labs ante esta vulnerabilidad?
Aztec Labs confirmó que estaba investigando, pero afirmó que no tiene ningún mecanismo para intervenir. “Aztec Connect quedó obsoleto hace 3 años. Aztec Labs no posee claves de administrador ni control sobre el sistema; no podemos pausarlo ni actualizarlo”, escribió el equipo enX.
En un comunicado aparte, la Fundación Aztec publicó en X, afirmando que la fundación enfatizó que el incidentedent tiene conexión con ningúntracvinculado al token AZTEC ERC-20 o a la red Aztec actual, que se centra en contratos inteligentestrac.
“Aztec Connect quedó obsoleto hace 3 años y Aztec Labs no conserva ningún control sobre el sistema”, escribió la Fundación Aztec.
Cuando Aztec Labs desactivó el puente, renunció a las claves de administrador de lostrac, dado que se trataba de un protocolo centrado en la privacidad. Sin embargo, la contrapartida es que, una vez perdidas las claves, nadie puede implementar una solución cuando surge una vulnerabilidad.
¿Cuál es el coste de la explotación?
de Aztec ConnecttracSegún DefiLlamay esos fueron los fondos a los que el atacante pudo acceder.
Los fondos no estaban sujetos a supervisión y el equipo no hizo nada al respecto, ya que cualquier activo que quedara en ellos dependía por completo de la integridad del código original.
La vulnerabilidad explotada por Aztec Connect también pone de manifiesto el riesgo recurrente para los usuarios que dejan sus fondos entracheredados después de que un proyecto migre.
Las hazañas de junio siguen aumentando
Ya estamos a mediados de junio, y con el aumento de las vulnerabilidades, los protocolos criptográficos no parecen tener un respiro. Mayo también estuvo marcado por diversas vulnerabilidades, y las plataformas recientemente descontinuadas están experimentando un aumento de los ataques.
Cryptopolitan ya había informado anteriormente sobre las vulnerabilidades que afectaron a Gnosis Pay y TesseraDAO en los primeros días de junio, y solo TesseraDAO perdió 2,5 millones de dólares en un ataque de acuñación y venta masiva de criptomonedas contra BNB Chain.
Según DeFidatos, las vulnerabilidades explotadas en junio ya han alcanzado pérdidas acumuladas de aproximadamente 43,93 millones de dólares a mediados de mes.
No te limites a leer noticias sobre criptomonedas. Entiéndelas. Suscríbete a nuestro boletín. Es gratis.
Artículos Recomendados
