Aztec sufre segundo exploit de 2,1 millones de dólares en menos de una semana, según SlowMist

La infraestructura obsoleta de Aztec ha sufrido un segundo exploit en cuestión de días, lo que añade preocupaciones sobre la seguridad de la infraestructura de contratos inteligentes abandonada.

El puente de private rollup de Aztec fue explotado el jueves por 1.158 Ether (ETH), 150.000 Dai (DAI) y 0,46 renBTC (RENBTC), totalizando alrededor de 2,15 millones de dólares, según Cos, co-fundador de la empresa de ciberseguridad SlowMist.

Su análisis preliminar encontró que el atacante utilizó una prueba de rollup falsa para engañar al protocolo y liberar activos de sus reservas a la dirección del atacante.

Aztec Labs confirmó el exploit, agregando que alrededor de 2 millones de dólares fueron transferidos desde un contrato inteligente inmutable de un producto de pago depreciado en 2022, para el cual Aztec Labs no tenía claves de administrador ni capacidad para pausar transacciones.

Aztec Labs dijo que el incidente es separado del 2,1 millones de dólares robados del contrato inteligente de Aztec Connect el domingo. Aztec Connect fue un rollup enfocado en la privacidad que fue depreciado en marzo de 2023, con el equipo deteniendo depósitos y cambiando recursos a la red Aztec de próxima generación.

Cointelegraph se contactó con Aztec Labs para obtener detalles adicionales sobre la vulnerabilidad pero no había recibido una respuesta al momento de la publicación.

Registro de Etherscan de la transacción de exploit del jueves. Fuente: Etherscan

Viejos contratos inteligentes plantean nuevas preocupaciones de seguridad

Los dos exploits de Aztec, junto con el 1,3 millones de dólares robados del exchange descentralizado Raydium a principios de junio, renovaron las preocupaciones sobre los contratos inteligentes depreciados, ya que los tres incidentes se originaron en vulnerabilidades en infraestructura abandonada.

“Los contratos antiguos continúan siendo bug bounties disponibles para cualquier hacker. Con los protocolos eliminando su responsabilidad de mantenerlos, pueden volverse aún más tentadores”, escribió la plataforma de análisis de riesgos Blockful en un post de X del martes.

A pesar de que Aztec Connect estaba depreciado, el atacante extrajo más de 2,1 millones de dólares en el exploit inicial ya que el contrato inmutable todavía estaba manteniendo activos heredados de usuarios, escribió SlowMist en un análisis post-mortem del incidente.

Primer exploit de Aztec, visión general del ataque. Fuente: SlowMist

Para protocolos con contratos inteligentes depreciados que aún mantienen activos heredados, SlowMist aconsejó una migración ordenada de activos para eliminar los riesgos de exposición continua a la ciberseguridad.