Olvidado, pero no indefenso: Un hacker extrajo $2,1 millones del protocolo Aztec Connect, cerrado hace tres años
El 14 de junio se registró un incidente que nos recuerda una vez más un problema fundamental de DeFi: el código no envejece, pero las vulnerabilidades permanecen para siempre. Un atacante logró extraer más de $2,1 millones de los contratos inteligentes del protocolo Aztec Connect, que fue cerrado oficialmente y abandonado hace tres años.
Los especialistas en seguridad blockchain identificaron una transacción sospechosa que llevó al vaciamiento de los fondos. La causa del hackeo radica en una verificación incompleta de las pruebas (proofs) dentro del mecanismo del contrato inteligente. El error clave consistió en que el contrato solo verificaba el inicio de la prueba, ignorando las instrucciones de transferencia de tokens contenidas en otra parte de los datos. Este es un caso clásico de desajuste entre la lógica de verificación y la de ejecución, que permitió al atacante alterar el mecanismo de retiro de fondos y, de forma legítima desde la perspectiva del contrato, retirar aproximadamente $2,19 millones.
Reacción del equipo de Aztec
La Fundación Aztec confirmó haber recibido una notificación sobre un posible exploit. El equipo destacó que el incidente no afecta al token actual AZTEC (ERC-20) ni a los contratos activos de la red principal de Aztec. Sin embargo, el punto clave es que Aztec Labs ya no gestiona el protocolo Aztec Connect. Como declararon los desarrolladores: "Aztec Labs no posee las claves administrativas ni tiene control sobre el sistema. No podemos detenerlo ni actualizarlo". Esto significa que los fondos atrapados o presentes en contratos obsoletos quedaron prácticamente indefensos frente a la explotación.
Este hackeo no es un caso aislado. Ocurrió apenas unos días después del exploit en Raydium (RAY) en la red Solana, donde los hackers extrajeron aproximadamente $1,3 millones de cinco grupos de liquidez obsoletos. Según datos de plataformas analíticas, el daño total por ataques informáticos en DeFi desde principios de junio ya supera los $43,93 millones.
Mi análisis: Este incidente es una dura lección para toda la comunidad. Muestra que los protocolos "muertos" no son solo registros de archivo en la cadena de bloques, sino objetivos activos. Cualquier contrato inteligente, una vez desplegado, sigue siendo vulnerable a ataques si hay una brecha en su lógica. Los usuarios y los equipos de proyectos deben prestar mucha atención a la liquidación y migración de fondos desde contratos obsoletos. Dejar activos en protocolos "inactivos" sin posibilidad de actualización es un camino directo hacia su pérdida.