Die besten Krypto-Einblicke direkt in Ihren Posteingang.
Hacker plündern Aztec um 2 Millionen Dollar – zweiter Hack innerhalb einer Woche
- Nur wenige Tage nach einem anderen Sicherheitsvorfall im Wert von 2,19 Millionen US-Dollar wurde Aztec erneut von einer Sicherheitslücke im Wert von 2 Millionen US-Dollar getroffen
- Der jüngste Aztec-Angriff nutzte ein veraltetes Rollup-Produkt aus, dessen administrative Kontrollmechanismen bereits vor Jahren aufgegeben wurden, sodass kein Mechanismus für ein Notfalleingreifen mehr vorhanden ist.
- Der Angriff reiht sich ein in eine Reihe von Sicherheitslücken, die in den letzten Tagen auf veraltetetracabzielten.
Angreifer haben am 17. Juni rund 2 Millionen Dollar von einem veralteten Aztec-Zahlungsprodukt erbeutet, nur wenige Tage nachdem bei einem separaten Angriff, der auf die stillgelegte Aztec Connect-Bridge des Projekts abzielte, 2,19 Millionen Dollar verloren gegangen waren.
Die beiden aufeinanderfolgenden Vorfälledentsich in ein wachsendes Muster von Hackerangriffen auf verlassene Smarttracein, die zwar Kundengelder enthalten, aber über kein Team verfügen, das in der Lage ist, diese zu reparieren.
Wie wurden die veralteten Aztec Smarttracausgenutzt?
Der Sicherheitsforscher Cos meldete von Aztec.tracBei diesen Transaktionen handelte es sich um 1.158 ETH, 150.000 DAI und 0,47 renBTC, was laut Cos' Beitrag auf X einem Gesamtwert von etwa 2,15 Millionen US-Dollar entspricht.
Der von Cos hervorgehobenetracist nicht derselbe, der am 14. Juni verletzt wurde.
Der Sicherheitsforscher thisvishalsinghbestätigte auf X, dass der Datenverlust bei Private Rollup Bridge „ein separater Vorfall ist,dent nichts mit dem Datenverlust von 2,1 Millionen Dollar beim ausgelaufenen Aztec Connect-Vertragtraceinigen Tagen zu tun hat.“
Aztec Labs teilte auf X mit, dass man „eine mögliche Sicherheitslücke in einem veralteten Zahlungsprodukt von Aztec aus dem Jahr 2021 untersucht“ und beschrieb dentracals „einen unveränderlichen Stage-2-Rollup, der 2022 auslief“
Die Aztec Foundation erklärte , dass „das Produkt vor 4 Jahren als veraltet eingestuft wurde und Aztec Labs keinerlei Kontrolle mehr über das System hat.“
Der Angriff vom 14. Juni, den Aztec Labs in einer Nachbesprechung dokumentierte, nutzte eine Schwachstelle in der Art und Weise aus, wie das Proof-Verifizierungssystem von Aztec Connect und der zugehörige On-Chain-Abrechnungscode denselben Transaktionsstapel verarbeiteten. Das Proof-System prüfte Zeilen in Gruppen von 32, während der Abrechnungscode nur die Anzahl der im Stapel als „echt“ deklarierten Zeilen verarbeitete.
Durch 14 speziell präparierte Rollup-Einreichungen, die in einer einzigen Transaktion zusammengefasst wurden, entwendete der Angreifer laut Aztec Labs ungefähr 909 ETH, 270.513 DAI, 168 wstETH und mehrere Yearn Vault-Token im Gesamtwert von rund 2,19 Millionen US-Dollar.
Bei einem Folgeangriff am 15. Juni wurde die gleiche Technik auf übrig gebliebene DeFi -Bridge-Positionen angewendet, wodurch 88.000 US-Dollar erbeutet wurden.
Aztec Connect war ein datenschutzfreundliches zk-Rollup, das 2022 eingeführt und 2023 eingestellt wurde.
Im April 2024 gab Aztec Labs nach einem Jahr, in dem Nutzer zum Abheben ihrer Guthaben aufgefordert wurden, alle administrativen Rollen und die Berechtigung zum Upgrade in der Blockchain auf. Dies geschah, um den übrigen Nutzern, die noch Guthaben auf der Blockchain hatten, einen Ausstieg zu ermöglichen, ohne dass das Team eingreifen musste.
Dies bedeutete jedoch auch, dass das Aztec-Team keine Möglichkeit hatte, im Falle der Entdeckung einer Sicherheitslücke eine Korrektur bereitzustellen.
Das Blockchain-Sicherheitsunternehmen Blockaid berichtete , dass seine Überwachungsplattform die Vorbereitungsaktivitäten des Angreifers etwa sechs Minuten vor der am 14. Juni durchgeführten Abflusstransaktion erkannt habe.
Warum werden veraltete Protokolle angegriffen?
Die Aztec-Vorfälledentkein Einzelfall. Am 15. Juni DeFi Optionsprotokoll Thetanuts Finance einen Angriff auf einen älteren Tresor, von dem es Jahre zuvor migriert worden war. Dabei wurde ein Schaden von 2,1 Millionen US-Dollar verursacht. Laut dem Sicherheitsforscher ExVul nutzte der Angriff eine Schwachstelle in der Einlösungslogik des Tresors aus.
Blockful.eth hob den Trend auf X hervor und schrieb: „In den letzten Tagen gab es zwei Exploits, die ein Risiko aufdeckten, an dessen Existenz im DeFisich nur wenige erinnern: altetracmit Millionen von Dollar, die ungenutzt herumliegen.“
Für Protokolle, die im Namen der Dezentralisierung auf Administratorschlüssel verzichten, könnte sich dieser Kompromiss im Nachhinein als nachteilig erweisen, da Angreifer es offenbar auf diese Protokolle abgesehen haben.
Laut DefiLlama haben die Verluste durch Exploits im DeFi Bereich zur Monatsmitte bereits 43 Millionen US-Dollar überschritten, und veraltetetracscheinen einen zunehmenden Anteil der Zielfläche auszumachen.
Die klügsten Köpfe der Krypto-Szene lesen bereits unseren Newsletter. Möchten Sie auch dabei sein? Dann schließen Sie sich ihnen an.
Häufig gestellte Fragen
Wie viel wurde Aztec insgesamt bei beidendentgestohlen?
Der erste Angriff auf Aztec Connect am 14. Juni erbeutete rund 2,19 Millionen US-Dollar, ein weiterertracam darauffolgenden Tag brachte laut Aztec Labs weitere 88.000 US-Dollar ein. Der zweite, separate Angriff am 17. Juni zielte auf die Private Rollup Bridge ab und brachte etwa 2 Millionen US-Dollar ein.
Hat dies Auswirkungen auf das aktuelle Aztec-Netzwerk oder den AZTEC-Token?
Nein. Sowohl Aztec Labs als auch die Aztec Foundation bestätigten, dass die ausgenutztentracin keinerlei Verbindung zum AZTEC ERC-20 Token oder zu irgendwelchen Smarttracdes aktuellen Aztec-Netzwerks stehen.
Warum kann die Sicherheitslücke nicht behoben werden?
Aztec Labs verzichtete im April 2024 auf alle administrativen Rollen und die Berechtigung zur Aktualisierung der Aztec Connect-trac, wodurch diese laut der Analyse des Teams vollständig unveränderlich wurden. Das im zweiten Exploit angegriffene, veraltete Zahlungsprodukt wurde von Aztec Labs ebenfalls als unveränderlichertracbeschrieben.
Haftungsausschluss. Die bereitgestellten Informationen stellen keine Anlageberatung dar. Cryptopolitan/ übernimmt keine Haftung für Investitionen, die auf Grundlage der Informationen auf dieser Seite getätigt werden. Wirtronempfehlen dringend, vor jeder Anlageentscheidung eigene Recherchen durchzuführendent oder einen qualifizierten Fachmann zu konsultieren
Hannah Collymore
Hannah ist Autorin und Redakteurin mit fast zehn Jahren Erfahrung im Bloggen und der Eventberichterstattung im Kryptobereich. Bei Cryptopolitanschreibt sie für die Nachrichtenseite und berichtet und analysiert die neuesten Entwicklungen in den Bereichen DeFi, RWA, Kryptoregulierung, KI und Zukunftstechnologien. Sie hat an der Arcadia University Betriebswirtschaftslehre studiert.
CRASH-KURS
- Mit welchen Kryptowährungen kann man Geld verdienen?
- Wie Sie Ihre Sicherheit mit einer digitalen Geldbörse erhöhen können (und welche sich tatsächlich lohnen)
- Wenig bekannte Anlagestrategien, die Profis anwenden
- Wie man mit dem Investieren in Kryptowährungen beginnt (welche Börsen man nutzen sollte, welche Kryptowährung am besten zum Kauf geeignet ist usw.)