Les meilleures analyses crypto directement dans votre boîte mail.
Aztec Labs abandonne son produit Aztec Connect après une faille de sécurité de 2,1 millions de dollars
- L'attaque d'Aztec Connect était due à un bug de vérification des preuves incomplet qui a permis à des retraits frauduleux de contourner les contrôles de validation.
- Comme Aztec Connect a été entièrement décentralisé et abandonné il y a des années, la vulnérabilité ne peut pas être corrigée et le protocole ne peut pas être suspendu.
- Aztec Labs et la Fondation Aztec ont souligné que cette faille n'affecte ni le réseau Aztec actuel ni le jeton AZTEC.
tracintelligent d'Aztec Connect aurait subi une perte de 2,1 millions de dollars suite à une attaque exploitant une faille de vérification dans le pont de confidentialité, pourtant neutralisé depuis trois ans. Cette attaque présente une particularité : selon l'équipe d'Aztec Labs, cette faille est irrémédiablement hors de portée de toute correction.
Les fonds volés comprenaient environ 909 ETH, 270 000 DAI et 167 wstETH, selon la société de sécurité blockchain BlockSec, qui a signalé la transaction suspecte via son système de surveillance Phalcon.
Avant d'être abandonné par Aztec Labs en mars 2023, Aztec Connect était un pont zk-rollup permettant aux utilisateurs d'interagir avec DeFi tels Aave et Lido tout en protégeant les détails des transactions grâce aux preuves à divulgation nulle de connaissance. Aztec Labs a cessé d'exploiter son séquenceur en mars 2024.
Le token AZTEC a progressé de plus de 5 % au moment de la publication du rapport de Cryptoplitan.
Quelle était la faille qui a permis à l'attaquant d'exploiter Aztec Connect ?
Le défaut était dû à une incohérence au niveau de la limite entre l'ensemble des transactions vérifiées et le traitement du règlement L1, selon l'analyse de BlockSec Phalcon sur X.
Selon la société de sécurité CertiK, la faille résidait dans une validation incomplète des données justificatives soumises.
Une fonction detracne vérifiait que le début de la preuve, tandis que les instructions de transfert de jetons intégrées ailleurs restaient non vérifiées, et c'est ce qui a permis à l'attaquant de manipuler les retraits.
Quelle est la réponse d'Aztec Labs à cette faille de sécurité ?
Aztec Labs a confirmé enquêter sur le problème, mais a précisé n'avoir aucun moyen d'intervenir. « Aztec Connect a été abandonné il y a trois ans. Aztec Labs ne possède aucun droit d'administration ni aucun contrôle sur le système ; nous ne pouvons ni le suspendre ni le mettre à jour », a indiqué l'équipe surX.
Dans une déclaration distincte publiée sur X, la Fondation Aztec a souligné que l'incidentdent aucun lien avec les contrats intelligentstracau jeton AZTEC ERC-20 ou au réseau Aztec actuel, qui se concentre sur les contrats intelligentstrac.
« Aztec Connect a été abandonné il y a 3 ans et Aztec Labs ne conserve aucun contrôle sur le système », a écrit la Fondation Aztec.
Lors de la fermeture du pont, Aztec Labs a renoncé aux clés d'administration destrac, compte tenu du caractère confidentiel du protocole. Cependant, en contrepartie, une fois ces clés supprimées, aucun correctif ne pourra être déployé en cas de vulnérabilité.
Quel est le coût de cette exploitation ?
d'Aztec Connecttracdétenaient environ 2,15 millions de dollars de valeur totale bloquée avant l'attaque, selon DefiLlama, et ce sont ces fonds auxquels l'attaquant a pu accéder.
Les fonds n'étaient pas contrôlés et l'équipe n'a rien fait à leur sujet, car les actifs qui s'y trouvaient dépendaient entièrement de l'intégrité du code original.
L'exploit d'Aztec Connect met également en lumière le risque récurrent pour les utilisateurs qui laissent leurs fonds dans d'ancienstracaprès la migration d'un projet.
Les exploits de juin continuent de s'accumuler
Nous sommes déjà à la mi-juin et, face à la recrudescence des attaques, les protocoles cryptographiques ne semblent pas trouver de répit. Le mois de mai a également été marqué par diverses failles de sécurité, et les plateformes récemment dépréciées subissent une augmentation des attaques.
Cryptopolitan avait déjà signalé des failles de sécurité affectant Gnosis Pay et TesseraDAO au début du mois de juin, TesseraDAO ayant perdu à elle seule 2,5 millions de dollars lors d'une attaque de type « mint-and-dump » sur BNB .
Selon DeFiLlama, les exploits de juin ont déjà atteint environ 43,93 millions de dollars de pertes cumulées à la mi-juin.
Les plus grands experts en cryptomonnaies lisent déjà notre newsletter. Envie d'en faire partie ? Rejoignez-les !
FAQ
Qu'est-ce qu'Aztec Connect et pourquoi a-t-il été exploité ?
Aztec Connect était un pont zk-rollup sur Ethereum qui assurait la confidentialité des transactions DeFi . Il a été abandonné en mars 2023 et, l'équipe ayant renoncé aux clés d'administration, une faille de vérification dans sontracintelligent immuable n'a pu être corrigée, permettant à un attaquant de dérober environ 2,1 millions de dollars le 14 juin 2026.
La faille Aztec Connect affecte-t-elle le jeton AZTEC ou le réseau Aztec actuel ?
Non. Aztec Labs et la Fondation Aztec ont tous deux confirmé que lestracexploités n'ont aucun lien avec le jeton ERC-20 d'AZTEC ni avec aucuntracintelligent lié au réseau Aztec actuel.
Comment l'attaquant a-t-il exploité letrac?
Selon l'analyse de BlockSec, la cause première était une inadéquation entre la vérification des transactions cumulées dutracet sa logique de traitement des règlements de niveau 1, ce qui a permis à l'attaquant de tromper letracet de libérer des fonds qu'il n'aurait pas dû.
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustronrecommandons vivement d’effectuer vosdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.
Hannah Collymore
Hannah est rédactrice et éditrice, forte d'une expérience de près de dix ans dans la rédaction de blogs et la couverture d'événements liés aux cryptomonnaies. Chez Cryptopolitan, elle contribue à la page d'actualités en rédigeant des articles et en analysant les dernières évolutions de la finance décentralisée DeFi, des comptes gérés par les utilisateurs (RWA), de la réglementation des cryptomonnaies, de l'intelligence artificielle (IA) et des technologies de pointe. Elle est diplômée en administration des affaires de l'université Arcadia.
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)