As melhores informações sobre criptomoedas direto na sua caixa de entrada.
Hackers roubam US$ 2 milhões da Aztec em segundo ataque hacker em uma semana
- Um novo ataque de 2 milhões de dólares atingiu a Aztec dias depois de uma violação de segurança anterior, que custou 2,19 milhões de dólares
- O mais recente ataque Aztec explorou um produto de rollup obsoleto, cujos controles administrativos foram abandonados há anos, não deixando nenhum mecanismo para intervenção de emergência.
- O ataque se soma a uma série de explorações que visaramtracobsoletos nos últimos dias.
Ataques cibernéticos roubaram cerca de US$ 2 milhões de um produto de pagamentos Aztec desativado em 17 de junho, poucos dias depois de um ataque exploratório separado que teve como alvo a ponte Aztec Connect, também desativada, do projeto.
Osdentconsecutivos reforçam um padrão crescente de hackers que atacamtracinteligentes abandonados que contêm fundos de usuários, mas não possuem uma equipe capaz de corrigi-los.
Como ostracinteligentes Aztec obsoletos foram explorados?
O pesquisador de segurança Cos sinalizou privado de rollup bridge da Aztectracem 18 de junho. Essas transações foram de 1.158 ETH, 150.000 DAI e 0,47 renBTC, que totalizaram aproximadamente US$ 2,15 milhões, de acordo com a publicação de Cos no X.
Otracvisado que a Cos destacou não é o mesmo que foi violado em 14 de junho.
O pesquisador de segurança thisvishalsinghconfirmou no X que o vazamento da Private Rollup Bridge "é um incidente separadodent vazamento de US$ 2,1 milhões no contrato obsoleto da Aztec Connect,trachá alguns dias".
A Aztec Labs afirmou no X que estava "investigando uma possível vulnerabilidade que afetava um produto de pagamentos da Aztec descontinuado, de 2021", descrevendo otraccomo "um rollup imutável de estágio 2 que foi desativado em 2022"
A Fundação Aztec declarou que "o produto foi descontinuado há 4 anos e a Aztec Labs não mantém nenhum controle sobre o sistema".
O ataque de 14 de junho, documentado pela Aztec Labs em um relatório pós-ataque, explorou uma falha na forma como o sistema de verificação de provas do Aztec Connect e seu código de liquidação on-chain liam o mesmo lote de transações. O sistema de provas verificava as linhas em grupos de 32, enquanto o código de liquidação processava apenas a quantidade de transações que o lote declarava como "reais".
Por meio de 14 envios de rollup cuidadosamente elaborados, agrupados em uma única transação, o atacante removeu aproximadamente 909 ETH, 270.513 DAI, 168 wstETH e vários tokens Yearn Vault, totalizando cerca de US$ 2,19 milhões, de acordo com a Aztec Labs.
Um ataque subsequente, em 15 de junho, utilizou a mesma técnica em posições remanescentes da ponte DeFi e levou consigo US$ 88.000.
O Aztec Connect era um zk-rollup que preservava a privacidade, lançado em 2022 e descontinuado em 2023.
Em abril de 2024, a Aztec Labs renunciou a todas as funções administrativas e à autoridade de atualização na blockchain, após um ano incentivando os usuários a retirarem seus fundos. A medida foi tomada para permitir que os demais usuários que ainda possuíam fundos pudessem sair sem a intervenção da equipe.
No entanto, isso também significava que a equipe da Aztec não tinha acesso para implementar qualquer correção caso alguma vulnerabilidade fosse detectada.
A empresa de segurança blockchain Blockaid informou que sua plataforma de monitoramento detectou a atividade preparatória do invasor cerca de seis minutos antes da transação de drenagem executada em 14 de junho.
Por que protocolos obsoletos estão sob ataque?
com a Aztecdentnão são isolados. Em 15 de junho, DeFi o protocolo de opções Thetanuts Finance confirmou um ataque de US$ 2,1 milhões direcionado a um cofre legado do qual havia migrado anos antes. Esse ataque explorou uma falha na lógica de resgate do cofre, de acordo com a empresa de pesquisa de segurança ExVul.
A Blockful.eth destacou a tendência no X, escrevendo: "Nos últimos dias, tivemos 2 exploits expondo um risco que poucos se lembram que existe no DeFi:tracantigos com milhões de dólares ociosos."
Para protocolos que renunciam às chaves de administrador em nome da descentralização, a troca pode estar parecendo desvantajosa em retrospectiva, já que parece que os atacantes estão de olho neles.
As perdas com exploits em DeFi em junho já ultrapassaram US$ 43 milhões na metade do mês, segundo DefiLlama, e ostracobsoletos parecem representar uma parcela crescente do total de perdas.
As mentes mais brilhantes do mundo das criptomoedas já leem nossa newsletter. Quer participar? Junte-se a elas.
Perguntas frequentes
Qual foi o valor total roubado da Aztec nos doisdent?
O primeiro ataque ao Aztec Connect, em 14 de junho, drenou aproximadamente US$ 2,19 milhões, com umtracsubsequente extraindo US$ 88.000 no dia seguinte, de acordo com o relatório pós-ataque da Aztec Labs. O segundo ataque, separado, em 17 de junho, teve como alvo a Private Rollup Bridge e causou um prejuízo de cerca de US$ 2 milhões.
Isso afeta a rede Aztec atual ou o token AZTEC?
Não. Tanto a Aztec Labs quanto a Aztec Foundation confirmaram que ostracexplorados não têm nenhuma ligação com o token AZTEC ERC-20 ou com quaisquertracinteligentes relacionados à rede Aztec atual.
Por que a vulnerabilidade não pode ser corrigida?
Em abril de 2024, a Aztec Labs renunciou a todas as funções administrativas e à autoridade de atualização sobre ostracdo Aztec Connect, tornando-os totalmente imutáveis, de acordo com o relatório pós-ataque da equipe. O produto de pagamentos obsoleto, alvo da segunda exploração, também foi descrito pela Aztec Labs como umtracimutável.
Aviso Legal. As informações fornecidas não constituem aconselhamento de investimento. CryptopolitanO não se responsabiliza por quaisquer investimentos realizados com base nas informações fornecidas nesta página. Recomendamostrona realização de pesquisas independentesdent /ou a consulta a um profissional qualificado antes de tomar qualquer decisão de investimento.
Hannah Collymore
Hannah é escritora e editora com quase uma década de experiência em redação para blogs e cobertura de eventos no universo das criptomoedas. No Cryptopolitan, Hannah contribui para a página de notícias, reportando e analisando os últimos desenvolvimentos em DeFi, RWA, regulamentação de criptomoedas, IA e tecnologias de ponta. Ela se formou em Administração de Empresas pela Universidade Arcadia.
- Quais criptomoedas podem te fazer ganhar dinheiro?
- Como aumentar a segurança da sua carteira digital (e quais realmente valem a pena usar)
- Estratégias de investimento pouco conhecidas que os profissionais utilizam
- Como começar a investir em criptomoedas (quais corretoras usar, as melhores criptomoedas para comprar etc.)