Angreifer stiehlt 2,1 Millionen Dollar aus Aztec Connect, drei Jahre nach der Abschaltung

Eine Schwachstelle in der alten Proof-Verifizierung machte einen Millionenraub möglich, obwohl Aztec Connect schon seit Jahren nicht mehr verwaltet wird. Was das für Legacy Smart Contracts bedeutet, liest du hier.

Wichtigste Erkenntnisse

• Am 14. Juni wurden mehr als 2,1 Millionen Dollar aus Aztec Connect gestohlen, und zwar über eine Schwachstelle in der Proof-Verifizierungslogik.
• Aztec Connect wurde vor drei Jahren abgeschaltet, und die unveränderlichen Smart Contracts werden seitdem nicht mehr verwaltet.
• Der Angriff betrifft das aktuelle Aztec-Netzwerk nicht, zeigt aber die Risiken veralteter, unbeaufsichtigter DeFi-Contracts.

Am 14. Juni wurden mehr als 2,1 Millionen Dollar aus Aztec Connect gestohlen, nachdem ein Angreifer eine Schwachstelle in der Proof-Verifizierungslogik der Plattform ausgenutzt hatte. Dieser Exploit fand statt, obwohl Aztec Connect schon vor drei Jahren abgeschaltet wurde und das System seitdem nicht mehr verwaltet wird.

Hintergrund von Aztec Connect und dem Exploit

Aztec Connect war eine auf Privatsphäre ausgerichtete Layer-2-Lösung auf Ethereum, die darauf abzielte, Transaktionsdetails innerhalb von DeFi-Anwendungen mithilfe von Zero-Knowledge-Proofs zu verschleiern. Im März 2023 kündigte Aztec Labs an, Aztec Connect auslaufen zu lassen, mit dem Plan, den Dienst spätestens im März 2024 einzustellen und sich auf die Entwicklung einer neuen, allgemeinen verschlüsselten Blockchain zu konzentrieren. Die Smart Contracts von Aztec Connect sind unveränderlich und wurden nach der Abkündigung nicht mehr gepflegt.

Der Exploit entstand, weil eine Vertragsfunktion nur einen Teil der eingereichten Beweisdaten prüfte, während Token-Transfer-Anweisungen an anderer Stelle in den Daten nicht ausreichend verifiziert wurden. Dadurch konnte der Angreifer unrechtmäßig Geld abziehen und rund 2,19 Millionen Dollar entwenden. Aztec Labs hat bestätigt, dass sie keine administrativen Rechte oder Kontrolle mehr über das System haben und es nicht pausieren oder upgraden können.

Auswirkungen und breiterer Kontext im DeFi-Bereich

Die Aztec Foundation betonte, dass dieser Angriff keine Auswirkungen auf das aktuelle Aztec-Netzwerk oder den AZTEC ERC-20-Token hat. Der Vorfall macht aber deutlich, welche Risiken mit veralteten und unbeaufsichtigten Smart Contracts im dezentralen Finanzsektor verbunden sind. Er zeigt, wie Schwachstellen in Legacy-Systemen auch Jahre nach der Abschaltung einer Plattform zu erheblichen Verlusten führen können.

Dieser Angriff folgt kurz auf einen Exploit bei Raydium, bei dem durch Angriffe auf alte Liquiditätspools im Solana-Netzwerk rund 1,3 Millionen Dollar verloren gingen. Laut Daten von DeFiLlama beliefen sich die Gesamtverluste durch Exploits im Juni auf etwa 43,93 Millionen Dollar, was die Notwendigkeit unterstreicht, bei der Sicherheit im DeFi-Bereich dauerhaft wachsam zu bleiben.

Relevanz für europäische Krypto-Nutzer

Für europäische Nutzer und Investoren im DeFi-Bereich ist es wichtig zu verstehen, dass selbst veraltete und nicht verwaltete Smart Contracts ein Sicherheitsrisiko darstellen können. Das unterstreicht, wie wichtig eine sorgfältige Risikobewertung und das Monitoring der Sicherheit genutzter Plattformen sind, auch wenn diese nicht mehr aktiv weiterentwickelt oder betreut werden. Der Vorfall könnte darauf hindeuten, dass auch Legacy-Contracts im europäischen Kryptomarkt anfällig für ähnliche Angriffe sein können.