Finst

Atacante rouba 2,1 milhões de dólares da Aztec Connect três anos após a descontinuação

Uma vulnerabilidade na antiga verificação de provas permitiu um roubo de milhões, enquanto a Aztec Connect já estava fora de gestão há anos. O que isto diz sobre os legacy smart contracts pode ler aqui.

Por Zenz van der Wielen
• Leitura de 2 min
Atacante rouba 2,1 milhões de dólares da Aztec Connect três anos após a descontinuação

Pontos principais

  • Em 14 de junho, foram roubados mais de 2,1 milhões de dólares da Aztec Connect através de uma vulnerabilidade na lógica de verificação de provas.
  • A Aztec Connect foi descontinuada há três anos e os smart contracts imutáveis deixaram de ser geridos desde então.
  • O ataque não afeta a atual rede Aztec, mas mostra os riscos de contratos DeFi desatualizados e sem gestão.

Em 14 de junho, foram roubados mais de 2,1 milhões de dólares da Aztec Connect por um atacante que explorou uma vulnerabilidade na lógica de verificação de provas da plataforma. Esta exploit ocorreu apesar de a Aztec Connect ter sido descontinuada há três anos e de o sistema não ser gerido desde então.

Antecedentes da Aztec Connect e da exploit

A Aztec Connect era uma solução Layer 2 orientada para a privacidade em Ethereum, centrada na ocultação dos detalhes das transações em aplicações DeFi através de zero-knowledge proofs. Em março de 2023, a Aztec Labs anunciou a descontinuação da Aztec Connect, com o plano de encerrar o serviço até março de 2024 e de se concentrar no desenvolvimento de uma nova blockchain encriptada de uso geral. Os smart contracts da Aztec Connect são imutáveis e deixaram de ser mantidos após a descontinuação.

A exploit surgiu porque uma função do contrato apenas verificava parte dos dados de prova submetidos, enquanto as instruções de transferência de tokens noutros pontos dos dados não eram verificadas de forma adequada. Isto permitiu ao atacante levantar fundos de forma indevida e retirar cerca de 2,19 milhões de dólares. A Aztec Labs confirmou que já não tem direitos administrativos nem controlo sobre o sistema e que não o pode pausar nem atualizar.

Impacto e contexto mais amplo na DeFi

A Aztec Foundation sublinhou que este ataque não tem impacto na atual rede Aztec nem no token AZTEC ERC-20. No entanto, este incidente evidencia os riscos associados a smart contracts desatualizados e sem gestão no setor das finanças descentralizadas. É um exemplo de como vulnerabilidades em sistemas legacy podem conduzir a perdas significativas, mesmo anos depois de uma plataforma ter sido descontinuada.

Este ataque surge pouco depois de uma exploit na Raydium, na qual cerca de 1,3 milhões de dólares foram perdidos devido a ataques a antigos pools de liquidez na rede Solana. Segundo dados da DeFiLlama, as perdas totais causadas por exploits em junho ascenderam a cerca de 43,93 milhões de dólares, o que reforça a necessidade de atenção contínua à segurança na DeFi.

Relevância para os utilizadores europeus de criptomoedas

Para os utilizadores e investidores europeus em DeFi, é importante perceber que mesmo smart contracts desatualizados e sem gestão podem representar um risco de segurança. Isto reforça a importância de uma avaliação cuidadosa do risco e da monitorização da segurança das plataformas utilizadas, mesmo quando estas já não estão a ser desenvolvidas ou geridas. O incidente pode indicar que os legacy contracts no mercado europeu de criptomoedas também podem estar vulneráveis a ataques semelhantes.

Aviso: Este conteúdo é destinado apenas para fins informativos e não constitui aconselhamento financeiro, de investimento, jurídico ou fiscal. As informações fornecidas podem estar incompletas, imprecisas ou desatualizadas e não devem ser utilizadas como aconselhamento. Nenhuma informação neste website deve ser considerada uma recomendação para comprar, vender ou manter qualquer criptomoeda. Investir em criptoativos envolve risco de perdas.