Finst

Aanvaller steelt 2,1 miljoen dollar uit Aztec Connect drie jaar na stopzetting

Een kwetsbaarheid in de oude proof-verificatie maakte een miljoenenroof mogelijk, terwijl Aztec Connect al jaren buiten beheer stond. Wat dit zegt over legacy smart contracts leest u hier.

By Zenz van der Wielen
• 2 min leestijd
Aanvaller steelt 2,1 miljoen dollar uit Aztec Connect drie jaar na stopzetting

Korte samenvatting

  • Op 14 juni werd ruim 2,1 miljoen dollar gestolen uit Aztec Connect via een kwetsbaarheid in de proof-verificatielogica.
  • Aztec Connect werd drie jaar geleden stopgezet en de onveranderlijke smart contracts worden sindsdien niet meer beheerd.
  • De aanval raakt het huidige Aztec-netwerk niet, maar toont risico's van verouderde, onbeheerde DeFi-contracten.

Op 14 juni werd meer dan 2,1 miljoen dollar gestolen uit Aztec Connect door een aanvaller die misbruik maakte van een kwetsbaarheid in de proof verificatielogica van het platform. Deze exploit vond plaats ondanks dat Aztec Connect al drie jaar geleden werd stopgezet en het systeem sindsdien niet meer wordt beheerd.

Achtergrond van Aztec Connect en de exploit

Aztec Connect was een privacygerichte Layer 2 oplossing op Ethereum, gericht op het afschermen van transactiedetails binnen DeFi-toepassingen via zero-knowledge proofs. In maart 2023 kondigde Aztec Labs de uitfasering van Aztec Connect aan, met het plan om de dienst uiterlijk maart 2024 te beëindigen en zich te richten op de ontwikkeling van een nieuwe, algemene versleutelde blockchain. De smart contracts van Aztec Connect zijn onveranderlijk en werden na de deprecatie niet meer onderhouden.

De exploit ontstond doordat een contractfunctie slechts een deel van de ingediende bewijsdata controleerde, terwijl tokenoverdrachtinstructies elders in de data niet adequaat werden geverifieerd. Hierdoor kon de aanvaller op onrechtmatige wijze geld opnemen en ongeveer 2,19 miljoen dollar wegnemen. Aztec Labs heeft bevestigd dat zij geen administratieve rechten of controle meer hebben over het systeem en het niet kunnen pauzeren of upgraden.

Impact en bredere context binnen DeFi

De Aztec Foundation benadrukte dat deze aanval geen effect heeft op het huidige Aztec-netwerk of de AZTEC ERC-20 token. Dit incident onderstreept echter de risico's die gepaard gaan met verouderde en onbeheerde smart contracts binnen de gedecentraliseerde financiële sector. Het is een voorbeeld van hoe kwetsbaarheden in legacy-systemen kunnen leiden tot aanzienlijke verliezen, ook jaren nadat een platform is stopgezet.

Deze aanval volgt kort op een exploit bij Raydium, waarbij ongeveer 1,3 miljoen dollar verloren ging door aanvallen op oude liquiditeitspools op het Solana-netwerk. Volgens gegevens van DeFiLlama bedroegen de totale verliezen door exploits in juni ongeveer 43,93 miljoen dollar, wat de noodzaak benadrukt voor voortdurende aandacht voor beveiliging in DeFi.

Relevantie voor Europese cryptogebruikers

Voor Europese gebruikers en investeerders in DeFi is het belangrijk te beseffen dat zelfs verouderde en niet-beheerde smart contracts een beveiligingsrisico kunnen vormen. Dit benadrukt het belang van zorgvuldige risicobeoordeling en het monitoren van de veiligheid van gebruikte platforms, ook als deze niet langer actief worden ontwikkeld of beheerd. Het incident kan erop wijzen dat legacy-contracten in de Europese cryptomarkt eveneens kwetsbaar kunnen zijn voor soortgelijke aanvallen.

Disclaimer: Deze inhoud is uitsluitend bedoeld voor informatieve doeleinden en vormt geen financieel, beleggings-, juridisch of fiscaal advies. De verstrekte informatie kan onvolledig, onjuist of verouderd zijn en mag niet als zodanig worden gebruikt. Niets op deze website mag worden beschouwd als een aanbeveling om cryptocurrency te kopen, verkopen of aan te houden. Investeren in crypto-activa brengt risico op verlies met zich mee.