Aztec Labs abbandona il prodotto obsoleto Aztec Connect dopo una vulnerabilità che ha causato una perdita di 2,1 milioni di dollari

Secondo quanto riportato,tracintelligente di Aztec Connect ha perso 2,1 milioni di dollari dopo che un hacker ha sfruttato una falla di verifica nel ponte per la privacy, disattivato tre anni fa. Questo attacco presenta anche una particolarità: secondo il team di Aztec Labs, la falla è talmente grave da non poter essere corretta da nessuno.

Secondo la società di sicurezza blockchain BlockSec, che ha segnalato la transazione sospetta tramite il suo sistema di monitoraggio Phalcon, i fondi rubati includevano circa 909 ETH, 270.000 DAI e 167 wstETH. 

Prima di essere dismesso da Aztec Labs nel marzo 2023, Aztec Connect era un bridge zk-rollup che permetteva agli utenti di interagire con DeFi protocolli Aave e Lido, proteggendo al contempo i dettagli delle transazioni tramite prove a conoscenza zero. Aztec Labs ha interrotto il funzionamento del suo sequencer entro marzo 2024.

Al momento della pubblicazione del report di Cryptoplitan, il token AZTEC ha registrato un aumento di oltre il 5%

Qual era la falla che ha permesso all'attaccante di sfruttare Aztec Connect? 

La falla era dovuta a una discrepanza tra il confine tra il set di transazioni verificate e l'elaborazione del regolamento L1, secondo l'analisi di BlockSec Phalcon su X.

Secondo la società di sicurezza CertiK, la falla consisteva in una convalida incompleta dei dati di prova inviati.

 Una funzione ditraccontrollava solo l'inizio della prova, mentre le istruzioni di trasferimento dei token incorporate altrove non venivano verificate, ed è questo che ha permesso all'attaccante di manipolare i prelievi.

Qual è la risposta di Aztec Labs alla vulnerabilità?

Aztec Labs ha confermato di aver avviato un'indagine, ma ha dichiarato di non avere alcun meccanismo per intervenire. "Aztec Connect è stato dismesso 3 anni fa. Aztec Labs non detiene chiavi di amministrazione né alcun controllo sul sistema; non possiamo sospenderlo o aggiornarlo", ha scritto il team suX.

In una dichiarazione separata, la Fondazione Aztec ha pubblicato su X, affermando che la fondazione ha sottolineato che l'incidentedent ha alcun collegamento con smarttraclegati al token AZTEC ERC-20 o all'attuale rete Aztec, che si concentra su smart contracttrac. 

"Aztec Connect è stato dismesso tre anni fa e Aztec Labs non esercita più alcun controllo sul sistema", ha scritto la Fondazione Aztec.

Quando Aztec Labs ha smantellato il bridge, ha rinunciato alle chiavi di amministrazione deitrac, dato che si trattava di un protocollo incentrato sulla privacy. Tuttavia, il rovescio della medaglia è che, una volta perse le chiavi, nessuno può implementare una correzione quando emerge una vulnerabilità.

Qual è il costo di questa vulnerabilità?

Secondo i dati DefiLlama , di Aztec Connecttracdetenevano circa 2,15 milioni di dollari in fondi bloccati prima dell'attacco, e questi sono i fondi a cui l'hacker è riuscito ad accedere.

I fondi non erano monitorati e il team non ha fatto nulla al riguardo, poiché qualsiasi risorsa rimasta al loro interno dipende interamente dall'integrità del codice originale. 

La vulnerabilità sfruttata da Aztec Connect mette inoltre in luce il rischio ricorrente per gli utenti che lasciano i propri fondi intracpreesistenti dopo la migrazione di un progetto.

Le imprese di giugno continuano ad aumentare

Siamo già a metà giugno e, con l'aumento degli exploit, i protocolli crittografici non sembrano avere tregua. Anche maggio è stato caratterizzato da diversi exploite le piattaforme recentemente dismesse stanno subendo un incremento di attacchi.

Cryptopolitan ha già segnalato in precedenza degli exploit che hanno colpito Gnosis Pay e TesseraDAO nei primi giorni di giugno, con TesseraDAO che da sola ha perso 2,5 milioni di dollari in un attacco di tipo "mint-and-dump" contro BNB Chain. 

Secondo DeFiLlama, a metà mese gli attacchi informatici di giugno hanno già causato perdite cumulative per circa 43,93 milioni di dollari.