Una brecha de seguridad que afecta a los contratos inteligentes de Aztec Connect ha llevado al drenaje de activos digitales valorados en aproximadamente 2.1 millones de dólares. Según la firma de seguridad en cadena BlockSec, el atacante logró apoderarse de 909 ETH, 270,000 DAI y 167 wstETH. El incidente es especialmente notable debido a la vulnerabilidad que residía en un puente de privacidad que había estado fuera de servicio durante tres años, y, según declaraciones de Aztec Labs, ahora no existe ningún mecanismo para intervenir dentro del sistema.
¿Cómo fue explotado el antiguo puente?
Antes de ser desmantelado en marzo de 2023, Aztec Connect operaba como un puente zk rollup, permitiendo a los usuarios interactuar con plataformas de finanzas descentralizadas como Aave y Lido. Para marzo de 2024, Aztec Labs había cerrado por completo su propia infraestructura de secuenciación. Aztec es conocido por centrarse en contratos inteligentes que priorizan la privacidad del usuario.
Mini glosario: Un zk rollup es una solución de escalado que agrupa muchas transacciones fuera de la cadena y envía un resumen a la cadena principal. Las pruebas de conocimiento cero son métodos criptográficos que permiten verificar una transacción como legítima sin revelar sus detalles.
El análisis de la plataforma Phalcon de BlockSec indica que el fallo se originó por una discrepancia entre el lote de transacciones validadas y el proceso de consenso de L1. La firma de seguridad CertiK señaló que el problema estaba relacionado con una verificación incompleta de los datos de prueba. En esencia, una función del contrato solo verificaba la parte inicial de la prueba, dejando instrucciones de transferencia de tokens en otro segmento sin verificar. Esto permitió al atacante manipular el proceso de retiro y extraer fondos.
Aztec Labs aclaró que Aztec Connect fue discontinuado hace tres años y no quedan claves administrativas ni funciones de control, lo que significa que el protocolo no puede ser detenido ni actualizado.
Aztec Labs y la fundación responden
Aztec Labs confirmó estar investigando el incidente pero reiteró su incapacidad para intervenir directamente. En una declaración separada, la Fundación Aztec enfatizó que la brecha no afecta el token AZTEC ERC 20 ni ningún contrato vinculado a la red actual de Aztec, explicando que la red de hoy se centra exclusivamente en contratos inteligentes orientados a la privacidad.
La Fundación Aztec enfatizó que el evento está confinado a la infraestructura legada de Aztec Connect y no representa un riesgo para la red existente de Aztec o los contratos de token AZTEC ERC 20.
Cuando Aztec Labs descontinuó el puente, renunció a todo control administrativo como parte de su compromiso con la privacidad. Sin embargo, esta decisión ahora ha demostrado ser problemática, ya que no deja opción para corregir fallos de seguridad descubiertos más adelante.
Pérdidas financieras y mayores implicaciones
Datos de DeFiLlama indican que el valor total bloqueado en los contratos de Aztec Connect era de aproximadamente 2.15 millones de dólares antes del ataque, lo que sugiere que casi todos los fondos bloqueados fueron comprometidos en el exploit.
| Activo | Cantidad |
|---|---|
| ETH | 909 |
| DAI | 270,000 |
| wstETH | 167 |
| Valor total bloqueado | Aproximadamente 2.15 millones de dólares |
El informe destaca que los activos restantes en los contratos en el momento del ataque no eran monitoreados activamente. Esto reabre el debate sobre los riesgos de dejar fondos en contratos obsoletos, donde la seguridad depende completamente de la base de código original, incluso si el proyecto ha avanzado desde entonces.
A mediados de junio, las pérdidas totales por exploits similares en el ecosistema cripto han alcanzado los 43.93 millones de dólares. A principios de mes, Gnosis Pay y TesseraDAO enfrentaron brechas comparables, con TesseraDAO perdiendo 2.5 millones de dólares en la BNB Chain. Estos incidentes subrayan que las plataformas descontinuadas siguen siendo objetivos atractivos para los atacantes.
