Ang Aztec Connect, isang deprecated na DeFi bridge na konektado sa Aztec ecosystem na nakatutok sa privacy, ay na-exploit noong Linggo matapos nakawin ng isang attacker ang humigit-kumulang $2.1 milyon mula sa isang lumang Ethereum smart contract.
Sinabi ng Aztec Labs sa X na "iniimbestigahan nila ang posibleng exploit na nakaaapekto sa Aztec Connect." Sinabi ng team na humigit-kumulang $2.1 milyon ang nailipat mula sa immutable na kontrata ng platform, ngunit idinagdag na ang mga kasalukuyang user at asset ng Aztec Network ay hindi apektado.
Nakakuha ng atensyon ang pahayag dahil hindi na aktibong produkto ang Aztec Connect. Ang platform ay deprecated noong Marso 2023 matapos ilipat ng Aztec Labs ang kanilang trabaho sa susunod na bersyon ng kanilang privacy network.
Pinahintulutan minsan ng Aztec Connect ang mga user na makakuha ng access sa DeFi sa pamamagitan ng isang ZK rollup na nakatutok sa privacy. Ang mga deposito ay pinahinto nang unti-unting inalis ang sistema, at binigyan ng oras ang mga user na bawiin ang kanilang mga pondo mula sa lumang platform.
Nanatili ang ilang asset sa kontrata. Sinabi ng crypto developer na si Param na ang mga kontrata ay naging "ganap na immutable" at hindi na maaaring ma-upgrade o mapahinto. Sinabi rin ng Aztec Labs na wala silang hawak na admin keys o kontrol sa lumang sistema.
Hindi tulad ng isang aktibong protocol, ang lumang sistema ng Aztec Connect ay walang operator na may kakayahang ihinto ang aktibidad. Dahil dito, ang tugon ay nakasalalay sa mga pampublikong babala, pagsubaybay, at mga pagsusuri ng mga natitirang apektadong user online.
Ang setup na iyon ay walang iniwang simpleng paraan para ihinto ang exploit kapag nahanap na ng attacker ang daan. Ang lumang code ay nananatili pa rin sa Ethereum, at ang kontrata ay may hawak pa ring pondo, kahit na ang produkto ay naabandona na.
Sinabi ng Phalcon team ng BlockSec na tinarget ng pag-atake ang RollupProcessorV3 contract ng Aztec Connect sa Ethereum. Sinabi ng kumpanya na lumampas sa $2.15 milyon ang pagkalugi matapos tamaan ng kahina-hinalang aktibidad ang kontrata.
Ayon sa BlockSec, ang isyu ay kinasasangkutan ng hindi pagkakatugma sa kung paano pinatutunayan ang mga transaksyon at kung paano sila inaayos sa Ethereum. Sa madaling salita, ang proof system at ang settlement logic ay hindi pareho ang pagbasa sa listahan ng transaksyon.
Ang puwang na iyon ang nagpahintulot sa attacker na lumikha ng mga balanse na hindi suportado ng valid na halaga sa Ethereum. Pagkatapos ay binawi ng attacker ang mga balanseng iyon. Ang parehong pattern ay inulit nang pitong beses sa iba't ibang asset.
Ang data ng CertiK na ibinahagi sa X ay naglista ng mga ninakaw na asset, kabilang ang 909 ETH, humigit-kumulang 270,000 DAI, 167 wrapped staked ETH, at mas maliliit na halaga ng ibang tokens. Sinabi rin ni Param na pinondohan ng attacker ang wallet sa pamamagitan ng Tornado Cash bago ang exploit.
Ang Aztec Connect exploit ay nagdaragdag sa isa pang aktibong buwan para sa mga insidente ng seguridad sa DeFi. Ipinapakita ng hacks tracker ng DeFiLlama ang ilang pagkalugi noong Hunyo, kabilang ang $30 milyon mula sa Humanity Protocol noong Hunyo 8 at $8 milyon mula sa Syscoin Bridge noong Hunyo 7.
Tulad ng naunang naiulat ng crypto.news, sinabi ng Humanity Protocol na mahigit $36 milyon ang ninakaw matapos makompromiso ang mga administrative key na konektado sa infrastructure ng bridge nito sa buong Ethereum at BNB Smart Chain.
Iniulat din ng Crypto.news na bumaba ang pagkalugi sa hack sa $68.3 milyon noong Mayo, bumaba nang halos 90% mula Abril. Gayunpaman, sinabi ng CertiK na ang mga depekto sa code ang sanhi ng humigit-kumulang $45 milyon ng pagkalugi noong Mayo, na ginagawa itong pinakamalaking paraan ng pag-atake para sa buwang iyon.
Ipinapakita ng kaso ng Aztec kung bakit ang mga lumang kontrata ng DeFi ay nananatiling bahagi ng security map. Kahit na ang isang produkto ay itinigil na, ang anumang pondo na naiwan sa immutable na kontrata ay maaari pa ring makapang-akit ng mga attacker kahit pagkalipas ng mga taon.
