Insidente ng Crypto Exploit sa Aztec Connect
Ayon sa Aztec Labs at sa blockchain security firm na BlockSec, sinamantala ng umaatake ang isang depekto sa proseso ng beripikasyon ng transaksyon ng platform, na nagbigay-daan sa kanila upang lumikha at mag-withdraw ng mga unbacked na balanse. Nagnakaw ang umaatake ng 909 ETH, 270,000 DAI, 167 wrapped staked ETH, at iba pang mga asset sa pitong transaksyon.
Noong Linggo, isang deprecated na decentralized finance (DeFi) platform na kilala bilang Aztec Connect ang nakaranas ng crypto exploit na nagresulta sa pagnanakaw ng humigit-kumulang $2.1 milyong halaga ng mga digital na asset. Kinumpirma ng Aztec Labs na sila ay nagsasagawa ng imbestigasyon sa insidente matapos matuklasan na ang mga pondo ay naubos mula sa smart contract ng Aztec Connect.
Detalye ng Exploit
Ipinaliwanag ng kumpanya na ang exploit ay nakaapekto lamang sa mas lumang platform ng Aztec Connect at hindi naapektuhan ang mga gumagamit, pondo, o asset sa kasalukuyang Aztec Network. Ayon sa koponan, humigit-kumulang $2.1 milyon ang nailipat mula sa kontrata sa panahon ng pag-atake.
Mabilis na nagsimula ang mga mananaliksik sa seguridad ng blockchain na suriin ang exploit. Iniulat ng security firm na BlockSec na sinamantala ng umaatake ang isang depekto na may kaugnayan sa proseso ng beripikasyon ng transaksyon ng platform. Partikular, nagkaroon ng hindi pagkakatugma sa pagitan ng kung paano na-verify ang mga transaksyon sa pamamagitan ng zero-knowledge proofs at kung paano ito sa huli ay na-interpret at na-settle sa Ethereum.
Dahil ang mga na-verify na transaksyon ay hindi wastong nakatali sa set ng transaksyon na ipinatupad ng zero-knowledge proof system, nagawa ng umaatake na manipulahin ang verification path.
Nagbigay-daan ito sa smart contract na kilalanin at bigyan ng halaga ang hindi talagang na-validate sa Ethereum. Bilang resulta, lumikha ang umaatake ng mga unbacked na balanse na maaaring i-withdraw bilang mga lehitimong asset. Ang exploit ay inulit ng pitong beses para sa maraming digital na asset.
Mga Epekto at Trend sa Seguridad
Ayon sa mga mananaliksik sa seguridad, nagnakaw ang umaatake ng 909 Ethereum (ETH), 270,000 Dai (DAI), 167 wrapped staked Ether, at iba pang cryptocurrencies. Ang pinagsamang halaga ng mga asset na ito ay umabot sa humigit-kumulang $2.1 milyon.
Ang insidente ay bahagi na ngayon ng nakababahalang trend ng mga paglabag sa seguridad na may kaugnayan sa crypto. Ipinapakita ng data mula sa DeFiLlama na higit sa $44 milyon ang nagnakaw sa pamamagitan ng hindi bababa sa isang dosenang magkakahiwalay na exploits sa buwang ito. Ang pinakamalaking insidente ay kinasangkutan ang Humanity Protocol, na iniulat na nawalan ng humigit-kumulang $30 milyon matapos ang kompromiso ng isang pribadong susi.
Ang isa pang pangunahing pag-atake ay nakatuon sa Syscoin Bridge, kung saan ang mga umaatake ay sinasabing sinamantala ang isang pekeng proof mechanism upang magnakaw ng humigit-kumulang $8 milyon.
Pagwawakas ng Aztec Connect
Orihinal na inilunsad ang Aztec Connect noong 2022 bilang isang privacy-focused na DeFi bridge na itinayo sa zero-knowledge rollup technology ng Aztec. Gayunpaman, ang platform ay na-deprecate noong Marso ng 2023 matapos ilipat ng development team ang kanilang pokus patungo sa susunod na henerasyon ng Aztec Network. Itinigil ang mga deposito at epektibong itinigil ang suporta para sa mas lumang platform.
Nilinaw ng Aztec Labs na wala na silang administratibong kontrol sa mga kontrata ng Aztec Connect. Dahil ang mga smart contract ay dinisenyo upang maging ganap na immutable, hindi kayang ipahinto, i-upgrade, o baguhin ng koponan ang mga ito bilang tugon sa mga insidente ng seguridad.
