Un attaquant vole 2,1 millions de dollars dans Aztec Connect, trois ans après son arrêt

Une vulnérabilité dans l’ancien système de vérification des preuves a permis un vol de plusieurs millions, alors qu’Aztec Connect était hors de gestion depuis des années. Voici ce que cela révèle sur les legacy smart contracts.

À retenir

• Le 14 juin, plus de 2,1 millions de dollars ont été volés dans Aztec Connect via une vulnérabilité dans la logique de vérification des preuves.
• Aztec Connect a été arrêté il y a trois ans et les smart contracts immuables ne sont plus gérés depuis.
• L’attaque n’affecte pas le réseau Aztec actuel, mais elle montre les risques liés aux contrats DeFi obsolètes et non gérés.

Le 14 juin, plus de 2,1 millions de dollars ont été volés dans Aztec Connect par un attaquant qui a exploité une vulnérabilité dans la logique de vérification des preuves de la plateforme. Cet exploit s’est produit alors qu’Aztec Connect avait déjà été arrêté depuis trois ans et que le système n’est plus géré depuis.

Contexte d’Aztec Connect et de l’exploit

Aztec Connect était une solution de couche 2 axée sur la confidentialité sur Ethereum, conçue pour masquer les détails des transactions dans les applications DeFi grâce aux preuves à divulgation nulle de connaissance (zero knowledge proofs). En mars 2023, Aztec Labs a annoncé la mise hors service d’Aztec Connect, avec pour objectif de mettre fin au service au plus tard en mars 2024 et de se concentrer sur le développement d’une nouvelle blockchain chiffrée à usage général. Les smart contracts d’Aztec Connect sont immuables et n’ont plus été maintenus après leur dépréciation.

L’exploit est né du fait qu’une fonction du contrat ne vérifiait qu’une partie des données de preuve soumises, tandis que les instructions de transfert de tokens ailleurs dans les données n’étaient pas correctement vérifiées. L’attaquant a ainsi pu retirer des fonds de manière illicite et soustraire environ 2,19 millions de dollars. Aztec Labs a confirmé qu’elle ne dispose plus d’aucun droit administratif ni d’aucun contrôle sur le système, et qu’elle ne peut ni le suspendre ni le mettre à niveau.

Impact et contexte plus large dans la DeFi

La fondation Aztec a souligné que cette attaque n’a aucun effet sur le réseau Aztec actuel ni sur le token AZTEC ERC-20. Cet incident met toutefois en évidence les risques associés aux smart contracts obsolètes et non gérés dans le secteur de la finance décentralisée. Il illustre la manière dont des vulnérabilités dans des systèmes legacy peuvent entraîner des pertes importantes, même des années après l’arrêt d’une plateforme.

Cette attaque fait suite de peu à un exploit chez Raydium, où environ 1,3 million de dollars ont été perdus à la suite d’attaques contre d’anciens pools de liquidité sur le réseau Solana. Selon les données de DeFiLlama, les pertes totales dues aux exploits en juin se sont élevées à environ 43,93 millions de dollars, ce qui souligne la nécessité d’une vigilance continue en matière de sécurité dans la DeFi.

Pertinence pour les utilisateurs européens de crypto

Pour les utilisateurs et investisseurs européens de DeFi, il est important de comprendre que même des smart contracts obsolètes et non gérés peuvent constituer un risque de sécurité. Cela souligne l’importance d’une évaluation rigoureuse des risques et du suivi de la sécurité des plateformes utilisées, même lorsqu’elles ne sont plus développées ni gérées activement. L’incident peut indiquer que les contrats legacy sur le marché des cryptomonnaies européen pourraient eux aussi être vulnérables à des attaques similaires.