Insiden Keamanan di Aztec Connect
Menurut Aztec Labs dan perusahaan keamanan blockchain BlockSec, penyerang memanfaatkan celah dalam proses verifikasi transaksi platform, yang memungkinkan mereka untuk menciptakan dan menarik saldo yang tidak didukung. Dalam tujuh transaksi, penyerang berhasil mencuri 909 ETH, 270.000 DAI, 167 wrapped staked ETH, dan beberapa aset digital lainnya.
Detail Eksploitasi
Pada hari Minggu, sebuah platform keuangan terdesentralisasi (DeFi) yang sudah tidak aktif, Aztec Connect, mengalami eksploitasi yang mengakibatkan pencurian sekitar $2,1 juta dalam bentuk aset digital. Aztec Labs mengonfirmasi bahwa mereka sedang menyelidiki insiden tersebut setelah menemukan bahwa dana telah dikeluarkan dari kontrak pintar Aztec Connect.
“Eksploitasi ini hanya berdampak pada platform Aztec Connect yang lebih lama dan tidak mempengaruhi pengguna, dana, atau aset di Aztec Network yang saat ini.”
Menurut tim, sekitar $2,1 juta ditransfer keluar dari kontrak selama serangan tersebut. Peneliti keamanan blockchain segera mulai menganalisis eksploitasi ini. BlockSec melaporkan bahwa penyerang memanfaatkan celah yang melibatkan proses verifikasi transaksi platform.
Proses Verifikasi yang Rentan
Secara spesifik, terdapat ketidakcocokan antara cara transaksi diverifikasi melalui zero-knowledge proofs dan bagaimana transaksi tersebut akhirnya diinterpretasikan dan diselesaikan di Ethereum. Karena transaksi yang diverifikasi tidak terikat dengan set transaksi yang ditegakkan oleh sistem zero-knowledge proof, penyerang dapat memanipulasi jalur verifikasi.
Hal ini memungkinkan kontrak pintar untuk mengenali dan mengkredit nilai yang sebenarnya belum divalidasi di Ethereum. Akibatnya, penyerang menciptakan saldo yang tidak didukung yang kemudian dapat ditarik sebagai aset yang sah. Eksploitasi ini dilakukan sebanyak tujuh kali untuk beberapa aset digital.
Tren Pelanggaran Keamanan di Dunia Crypto
Menurut peneliti keamanan, penyerang mencuri 909 Ethereum (ETH), 270.000 Dai (DAI), 167 wrapped staked Ether, dan beberapa cryptocurrency lainnya. Nilai gabungan dari aset-aset ini mencapai sekitar $2,1 juta. Insiden ini kini menjadi bagian dari tren yang mengkhawatirkan terkait pelanggaran keamanan di dunia crypto.
Data dari DeFiLlama menunjukkan bahwa lebih dari $44 juta telah dicuri melalui setidaknya selusin eksploitasi terpisah sejauh bulan ini. Insiden terbesar melibatkan Humanity Protocol, yang dilaporkan kehilangan sekitar $30 juta setelah kunci privatnya dikompromikan. Serangan besar lainnya menargetkan Syscoin Bridge, di mana penyerang diduga mengeksploitasi mekanisme bukti palsu untuk mencuri sekitar $8 juta.
Sejarah Aztec Connect
Aztec Connect awalnya diluncurkan pada tahun 2022 sebagai jembatan DeFi yang berfokus pada privasi, dibangun di atas teknologi zero-knowledge rollup Aztec. Namun, platform ini dihentikan pada bulan Maret 2023 setelah tim pengembang mengalihkan fokus mereka ke Aztec Network generasi berikutnya. Setoran dihentikan dan dukungan untuk platform yang lebih lama secara efektif dihentikan.
“Aztec Labs menegaskan bahwa mereka tidak lagi memiliki kontrol administratif atas kontrak Aztec Connect.”
Karena kontrak pintar dirancang untuk sepenuhnya tidak dapat diubah, tim tidak dapat menghentikan, memperbarui, atau memodifikasinya sebagai respons terhadap insiden keamanan.
