Utnyttelse av Aztec Connect
Ifølge Aztec Labs og blockchain-sikkerhetsfirmaet BlockSec, utnyttet angriperen en feil i plattformens transaksjonsverifiseringsprosess, som tillot dem å opprette og ta ut ubekreftede saldoer. Angriperen stjal 909 ETH, 270 000 DAI, 167 wrapped staked ETH, og flere andre eiendeler over syv transaksjoner.
Hendelsen
På søndag led den avviklede desentraliserte finans (DeFi) plattformen kjent som Aztec Connect et kryptoutnyttelse som resulterte i tyveri av omtrent 2,1 millioner dollar verdt digitale eiendeler. Aztec Labs bekreftet at de etterforsket hendelsen etter å ha oppdaget at midler ble tappet fra Aztec Connects smarte kontrakt.
Selskapet forklarte at utnyttelsen kun påvirket den eldre Aztec Connect-plattformen og ikke berørte brukere, midler eller eiendeler på det nåværende Aztec Network. Ifølge teamet ble omtrent 2,1 millioner dollar overført ut av kontrakten under angrepet.
Detaljer om utnyttelsen
Blockchain-sikkerhetsforskere begynte raskt å analysere utnyttelsen. Sikkerhetsfirmaet BlockSec rapporterte at angriperen utnyttet en feil knyttet til plattformens transaksjonsverifiseringsprosess. Spesielt var det en mismatch mellom hvordan transaksjoner ble verifisert gjennom nullkunnskapsbevis og hvordan de til slutt ble tolket og avregnet på Ethereum.
Fordi verifiserte transaksjoner ikke var riktig knyttet til transaksjonssettet håndhevet av nullkunnskapsbevis-systemet, kunne angriperen manipulere verifiseringsveien. Dette tillot den smarte kontrakten å gjenkjenne og kreditere verdi som faktisk ikke hadde blitt validert på Ethereum. Som et resultat opprettet angriperen ubekreftede saldoer som senere kunne bli trukket ut som legitime eiendeler. Utnyttelsen ble gjentatt syv ganger for flere digitale eiendeler.
Trender i kryptosikkerhet
Ifølge sikkerhetsforskere stjal angriperen 909 Ethereum (ETH), 270 000 Dai (DAI), 167 wrapped staked Ether, og flere andre kryptovalutaer. Den samlede verdien av disse eiendelene utgjorde omtrent 2,1 millioner dollar. Hendelsen er nå en del av den bekymringsfulle trenden med sikkerhetsbrudd relatert til kryptovaluta.
Data fra DeFiLlama viser at mer enn 44 millioner dollar har blitt stjålet gjennom minst et dusin separate utnyttelser så langt denne måneden. Den største hendelsen involverte Humanity Protocol, som angivelig mistet rundt 30 millioner dollar etter et kompromiss med en privat nøkkel. Et annet stort angrep målrettet Syscoin Bridge, hvor angripere angivelig utnyttet en falsk bevismekanisme for å stjele omtrent 8 millioner dollar.
Avvikling av Aztec Connect
Aztec Connect ble opprinnelig lansert i 2022 som en personvernsfokusert DeFi-bro bygget på Aztecs nullkunnskaps rollup-teknologi. Imidlertid ble plattformen avviklet i mars 2023 etter at utviklingsteamet skiftet fokus mot det neste generasjons Aztec Network. Innskudd ble stoppet, og støtten for den eldre plattformen ble effektivt avsluttet.
Aztec Labs gjorde det klart at de ikke lenger har administrativ kontroll over Aztec Connect-kontraktene. Fordi de smarte kontraktene ble designet for å være helt uforanderlige, kan teamet ikke pause, oppgradere eller endre dem som respons på sikkerhetshendelser.
