Angreb på Aztec Connect
Ifølge Aztec Labs og blockchain-sikkerhedsfirmaet BlockSec udnyttede angriberen en fejl i platformens transaktionsverifikationsproces, som gjorde det muligt for dem at oprette og hæve ubekræftede saldi. Angriberen stjal 909 ETH, 270.000 DAI, 167 wrapped staked ETH og flere andre aktiver på tværs af syv transaktioner. Søndag led den forældede decentraliserede finans (DeFi) platform, kendt som Aztec Connect, under en kryptoudnyttelse, der resulterede i tyveriet af cirka 2,1 millioner dollars værd af digitale aktiver.
Undersøgelse og Bekræftelse
Aztec Labs bekræftede, at de undersøgte hændelsen efter at have opdaget, at midler var blevet drænet fra Aztec Connects smart kontrakt. Virksomheden forklarede, at udnyttelsen kun påvirkede den ældre Aztec Connect-platform og ikke berørte brugere, midler eller aktiver på det nuværende Aztec Network. Ifølge teamet blev cirka 2,1 millioner dollars overført ud af kontrakten under angrebet.
Detaljer om Udnyttelsen
“Sikkerhedsfirmaet BlockSec rapporterede, at angriberen udnyttede en fejl, der involverede platformens transaktionsverifikationsproces.”
Specifikt var der en uoverensstemmelse mellem, hvordan transaktioner blev verificeret gennem zero-knowledge proofs, og hvordan de endeligt blev fortolket og afregnet på Ethereum. Fordi verificerede transaktioner ikke var korrekt knyttet til det transaktionssæt, der blev håndhævet af zero-knowledge proof-systemet, kunne angriberen manipulere verifikationsvejen. Dette gjorde det muligt for smart kontrakten at genkende og kreditere værdi, der faktisk ikke var blevet valideret på Ethereum. Som et resultat skabte angriberen ubekræftede saldi, der senere kunne hæves som legitime aktiver. Udnyttelsen blev gentaget syv gange for flere digitale aktiver.
Konsekvenser og Tendenser
Ifølge sikkerhedsforskere stjal angriberen 909 Ethereum (ETH), 270.000 Dai (DAI), 167 wrapped staked Ether og flere andre kryptovalutaer. Den samlede værdi af disse aktiver beløb sig til cirka 2,1 millioner dollars. Hændelsen er nu en del af den bekymrende tendens med sikkerhedsbrud relateret til kryptovaluta. Data fra DeFiLlama viser, at mere end 44 millioner dollars er blevet stjålet gennem mindst et dusin separate udnyttelser indtil videre i denne måned. Den største hændelse involverede Humanity Protocol, som angiveligt mistede omkring 30 millioner dollars efter et kompromis med en privat nøgle. Et andet stort angreb målrettede Syscoin Bridge, hvor angribere angiveligt udnyttede en falsk bevismekanisme til at stjæle cirka 8 millioner dollars.
Aztec Connects Status
Aztec Connect blev oprindeligt lanceret i 2022 som en privatlivsfokuseret DeFi-bro bygget på Aztecs zero-knowledge rollup-teknologi. Dog blev platformen forældet i marts 2023, efter at udviklingsteamet skiftede fokus mod det næste generations Aztec Network. Indskud blev stoppet, og support til den ældre platform blev effektivt ophørt. Aztec Labs gjorde det klart, at de ikke længere har administrativ kontrol over Aztec Connect-kontrakterne. Fordi smart kontrakterne blev designet til at være fuldstændig uforanderlige, kan teamet ikke pause, opgradere eller ændre dem som reaktion på sikkerhedshændelser.
