Kryptovaluta-exploatering av Aztec Connect
Enligt Aztec Labs och blockchain-säkerhetsföretaget BlockSec utnyttjade angriparen en brist i plattformens transaktionsverifieringsprocess, vilket gjorde det möjligt för dem att skapa och ta ut obekräftade saldon. Angriparen stal 909 ETH, 270 000 DAI, 167 wrapped staked ETH och flera andra tillgångar över sju transaktioner. På söndag drabbades den avvecklade decentraliserade finans (DeFi) plattformen Aztec Connect av en kryptovaluta-exploatering som resulterade i stöld av cirka 2,1 miljoner dollar i digitala tillgångar.
Aztec Labs bekräftade att de utreder händelsen efter att ha upptäckt att medel hade tömts från Aztec Connects smarta kontrakt. Företaget förklarade att exploateringen endast påverkade den äldre Aztec Connect-plattformen och inte berörde användare, medel eller tillgångar på det nuvarande Aztec Network. Enligt teamet överfördes ungefär 2,1 miljoner dollar ut ur kontraktet under attacken.
Detaljer om exploateringen
Blockchain-säkerhetsforskare började snabbt analysera exploateringen. Säkerhetsföretaget BlockSec rapporterade att angriparen utnyttjade en brist som involverade plattformens transaktionsverifieringsprocess. Specifikt fanns det en mismatch mellan hur transaktioner verifierades genom zero-knowledge proofs och hur de slutligen tolkades och avräknades på Ethereum.
”Verifierade transaktioner var inte korrekt kopplade till den transaktionsuppsättning som upprätthölls av zero-knowledge proof-systemet, vilket gjorde det möjligt för angriparen att manipulera verifieringsvägen.”
Detta gjorde det möjligt för det smarta kontraktet att känna igen och kreditera värde som faktiskt inte hade validerats på Ethereum. Som ett resultat skapade angriparen obekräftade saldon som senare kunde tas ut som legitima tillgångar. Exploateringen upprepades sju gånger för flera digitala tillgångar. Enligt säkerhetsforskare stal angriparen 909 Ethereum (ETH), 270 000 Dai (DAI), 167 wrapped staked Ether och flera andra kryptovalutor. Det sammanlagda värdet av dessa tillgångar uppgick till cirka 2,1 miljoner dollar.
Trenden av kryptorelaterade säkerhetsöverträdelser
Händelsen är nu en del av den oroande trenden av kryptorelaterade säkerhetsöverträdelser. Data från DeFiLlama visar att mer än 44 miljoner dollar har stulits genom minst ett dussin separata exploateringar hittills denna månad. Den största incidenten involverade Humanity Protocol, som rapporterades ha förlorat cirka 30 miljoner dollar efter en kompromiss av en privat nyckel. En annan stor attack riktade sig mot Syscoin Bridge, där angripare påstås ha utnyttjat en falsk bevismekanism för att stjäla cirka 8 miljoner dollar.
Avveckling av Aztec Connect
Aztec Connect lanserades ursprungligen 2022 som en integritetsfokuserad DeFi-bro byggd på Aztecs zero-knowledge rollup-teknologi. Plattformen avvecklades dock i mars 2023 efter att utvecklingsteamet skiftade sitt fokus mot nästa generations Aztec Network. Insättningar stoppades och stödet för den äldre plattformen avbröts effektivt.
Aztec Labs klargjorde att de inte längre har administrativ kontroll över Aztec Connect-kontrakten. Eftersom de smarta kontrakten var utformade för att vara helt oföränderliga kan teamet inte pausa, uppgradera eller modifiera dem som svar på säkerhetsincidenter.
