Exploração de vulnerabilidade do Aztec Connect drena US$ 2,1 milhões da ponte zk-rollup obsoleta no Ethereum
tracinteligente da Aztec Connect teria sofrido um prejuízo de US$ 2,1 milhões após um ataque que explorou uma falha de verificação na ponte de privacidade, corrigida há três anos. O ataque apresenta um detalhe peculiar: a falha está além da capacidade de correção de qualquer pessoa, segundo a equipe da Aztec Labs.
Os fundos roubados incluíam aproximadamente 909 ETH, 270.000 DAI e 167 wstETH, de acordo com a empresa de segurança blockchain BlockSec, que sinalizou a transação suspeita por meio de seu sistema de monitoramento Phalcon.
Antes de ser descontinuado pela Aztec Labs em março de 2023, o Aztec Connect era uma ponte zk-rollup que permitia aos usuários interagir com DeFi protocolos Aave e Lido, protegendo os detalhes das transações por meio de provas de conhecimento zero. A Aztec Labs parou de executar seu sequenciador em março de 2024.
O token AZTEC valorizou mais de 5% no momento da publicação do relatório da Cryptoplitan.
Qual foi a falha que permitiu ao atacante explorar o Aztec Connect?
A falha ocorreu devido a uma incompatibilidade envolvendo o limite entre o conjunto de transações verificadas e o processamento de liquidação de nível 1, conforme análise da BlockSec Phalcon sobre o X.
Segundo a empresa de segurança CertiK, a falha consistia em uma validação incompleta dos dados de comprovação enviados.
Uma função detracverificava apenas o início da prova, enquanto as instruções de transferência de tokens incorporadas em outros locais não eram verificadas, e foi isso que permitiu ao atacante manipular os saques.
Qual é a resposta da Aztec Labs à exploração da vulnerabilidade?
A Aztec Labs confirmou que está investigando o problema, mas afirmou não ter mecanismos para intervir. "O Aztec Connect foi descontinuado há 3 anos. A Aztec Labs não possui chaves de administrador nem controle sobre o sistema; não podemos pausá-lo ou atualizá-lo", escreveu a equipe noX.
Em um comunicado separado, a Fundação Aztec publicou no X, afirmando que a fundação enfatizou que o incidentedent tem nenhuma ligação com quaisquer contratos inteligentestracao token AZTEC ERC-20 ou à atual rede Aztec, que se concentra em contratos inteligentestrac.
“O Aztec Connect foi descontinuado há 3 anos e a Aztec Labs não mantém mais nenhum controle sobre o sistema”, escreveu a Aztec Foundation.
Quando a Aztec Labs desativou a ponte, renunciou às chaves administrativas dostrac, visto que se tratava de um protocolo focado em privacidade. No entanto, a desvantagem é que, uma vez perdidas as chaves, ninguém poderá implementar uma correção quando uma vulnerabilidade for descoberta.
Qual é o custo da exploração?
da Aztec ConnecttracDe acordo com DefiLlamae foram esses os fundos aos quais o explorador conseguiu ter acesso.
Os fundos não estavam sendo monitorados e a equipe não fez nada a respeito, já que quaisquer ativos restantes neles dependem inteiramente da integridade do código original.
A vulnerabilidade explorada pela Aztec Connect também traz à tona o risco recorrente para usuários que deixam seus fundos emtracantigos após a migração de um projeto.
As façanhas de junho continuam a aumentar
Já estamos na metade de junho e, com o aumento das explorações de vulnerabilidades, os protocolos de criptomoedas parecem não ter descanso. Maio também foi marcado por diversas explorações, e plataformas recentemente descontinuadas estão sofrendo um aumento nos ataques.
Cryptopolitan já havia relatado anteriormente explorações que atingiram a Gnosis Pay e a TesseraDAO nos primeiros dias de junho, com a TesseraDAO sozinha perdendo US$ 2,5 milhões em um ataque de cunhagem e despejo na BNB Chain.
Segundo DeFidados, as explorações de junho já acumularam perdas de aproximadamente US$ 43,93 milhões até meados do mês.
Não se limite a ler notícias sobre criptomoedas. Compreenda-as. Assine nossa newsletter. É grátis.
Artigos Recomendados
