En cuatro días, unos hackers sustrajeron 2 millones de dólares del segundotracde Aztec, poniendo de manifiesto el riesgo de los protocolos abandonados

El 17 de junio, unos atacantes sustrajeron alrededor de 2 millones de dólares de un producto de pagos obsoleto de Aztec, tan solo unos días después de que se perdieran 2,19 millones de dólares en un ataque informático independiente dirigido al puente Aztec Connect, que ya no se utiliza en el proyecto. 

Estosdentconsecutivos se suman a un patrón creciente de piratas informáticos que atacantracinteligentes abandonados que contienen fondos de usuarios pero que no cuentan con un equipo capaz de repararlos.

¿Cómo se explotaron lostracinteligentes Aztec obsoletos?

El investigador de seguridad Cos señaló tres transacciones sospechosas del contrato puente de rollup privado de Aztectrac18 de junio. Estas transacciones fueron de 1.158 ETH, 150.000 DAI y 0,47 renBTC, que sumaban aproximadamente 2,15 millones de dólares según la publicación de Cos en X.

Eltracal que se refiere Cos no es el mismo que se incumplió el 14 de junio. 

El investigador de seguridad thisvishalsinghconfirmó en X que la fuga de fondos de Private Rollup Bridge "es un incidente separadodent la fuga de 2,1 millones de dólares en el contrato obsoleto de Aztec Connecttrachace unos días".

Aztec Labs declaró en X que estaba "investigando una posible vulnerabilidad que afecta a un producto de pagos de Aztec obsoleto de 2021", describiendo eltraccomo "un acuerdo de consolidación de etapa 2 inmutable que finalizó en 2022"

La Fundación Azteca declaró que “el producto fue descontinuado hace 4 años y Aztec Labs no conserva ningún control sobre el sistema”.

El ataque del 14 de junio, documentado por Aztec Labs en un análisis posterior al incidente, explotó una vulnerabilidad en la forma en que el sistema de verificación de pruebas de Aztec Connect y su código de liquidación en la cadena leían el mismo lote de transacciones. El sistema de verificación comprobaba las filas en grupos de 32, mientras que el código de liquidación solo procesaba la cantidad de transacciones que el lote declaraba como "reales". 

Según Aztec Labs, mediante 14 operaciones de agregación de tokens manipuladas y empaquetadas en una sola transacción, el atacante sustrajo aproximadamente 909 ETH, 270.513 DAI, 168 wstETH y varios tokens de la bóveda Yearn, por un valor total de alrededor de 2,19 millones de dólares.

Un segundo ataque, perpetrado el 15 de junio, utilizó la misma técnica contra posiciones restantes en puentes DeFi y se apropió de 88.000 dólares.

Aztec Connect era un zk-rollup que preservaba la privacidad, lanzado en 2022 y descontinuado en 2023. 

En abril de 2024, Aztec Labs renunció a todas sus funciones administrativas y a la autoridad para actualizar la cadena de bloques, tras un año de instar a los usuarios a retirar sus fondos. Lo hizo para permitir que los demás usuarios que aún tenían fondos pudieran retirarse sin la intervención del equipo. 

Sin embargo, esto también significaba que el equipo de Aztec no tenía acceso para implementar ninguna solución en caso de que se detectara alguna vulnerabilidad.

La empresa de seguridad blockchain Blockaid informó que su plataforma de monitoreo detectó la actividad preparatoria del atacante aproximadamente seis minutos antes de que se ejecutara la transacción fraudulenta el 14 de junio. 

¿Por qué se atacan los protocolos obsoletos?

Losdentno son casos aislados. El 15 de junio, DeFi el protocolo de opciones Thetanuts Finance confirmó un ataque de 2,1 millones de dólares dirigido a una bóveda antigua de la que se había desvinculado años atrás. Según el investigador de seguridad ExVul, ese ataque explotó una vulnerabilidad en la lógica de redención de la bóveda.

Blockful.eth destacó la tendencia en X, escribiendo: "En los últimos días, hemos tenido 2 exploits que exponen un riesgo que pocos recuerdan que existe en DeFi:tracantiguos con millones de dólares que permanecen inactivos"

Para los protocolos que renuncian a las claves de administrador en nombre de la descentralización, la compensación puede parecer negativa en retrospectiva, ya que parece que los atacantes los han puesto en el punto de mira. 

Según DefiLlama, las pérdidas por exploits en DeFi durante junio ya superaron los 43 millones de dólares a mediados de mes, ytracobsoletos parecen representar una proporción cada vez mayor de la superficie objetivo.

Si estás leyendo esto, ya llevas ventaja. Mantente al día con nuestro boletín informativo.