El protocolo abandonado Aztec Connect ha sido atacado nuevamente: los hackers han retirado otros $2,2 millones.
El protocolo abandonado de transacciones privadas Aztec Connect ha vuelto a ser atacado. El 18 de junio, un atacante logró extraer aproximadamente $2,2 millones en criptomonedas de sus contratos inteligentes. Este es el segundo incidente en una semana: el primer ataque ocurrió el 14 de junio y los daños también fueron significativos.
Detalles del segundo hackeo
En esta ocasión, el hacker robó 1158 ETH, 150 000 DAI y aproximadamente 0,47 tokens renBTC. Analistas de seguridad de BlockSec Phalcon y SlowMist confirmaron que el ataque se llevó a cabo a través de una vulnerabilidad en la función escapeHatch (literalmente, «escotilla de emergencia»). Este mecanismo estaba diseñado para que los usuarios pudieran retirar sus fondos de emergencia si el sistema principal dejaba de funcionar. Sin embargo, los desarrolladores cometieron un error crítico: la función no verificaba los permisos de acceso. En esencia, la «puerta» estaba abierta para cualquiera.
El mecanismo del ataque fue simple pero efectivo. El hacker proporcionó al contrato inteligente una «prueba» falsa de propiedad de los activos, y el contrato, al no poder verificar la autenticidad, transfirió obedientemente los fondos de otros. Cabe destacar que el propio código vulnerable fue eliminado del repositorio principal del proyecto ya en 2023. Sin embargo, el contrato desplegado en la red permaneció sin cambios, y la «puerta trasera» seguía esperando su momento. Este es un ejemplo clásico de cómo el código «muerto», que todos consideraban inactivo, se convierte en una bomba de tiempo.
Por qué fue imposible detener el ataque
La raíz del problema radica en el estado del propio Aztec Connect. Este protocolo era un puente para operaciones privadas en DeFi en Ethereum, pero se dio de baja el año pasado, cuando el equipo de Aztec Labs se centró en el desarrollo de una nueva red. Tras el cierre, los desarrolladores renunciaron a las claves de administración, haciendo que los contratos fueran inmutables, es decir, su código quedó congelado para siempre en la blockchain. No se puede actualizar, corregir ni pausar. El equipo simplemente no tiene la capacidad técnica para intervenir y detener el robo.
Es importante destacar que el incidente no afecta ni al token AZTEC ni a la red actual de Aztec: se trata de un sistema completamente aislado y abandonado. Sin embargo, este caso demuestra una vez más el peligro oculto de DeFi: incluso los contratos inteligentes «muertos» siguen siendo un objetivo mientras contengan fondos. Según DeFiLlama, solo en junio de 2026, al menos 12 ataques resultaron en el robo de aproximadamente $44 millones. El mercado sigue pagando por errores de diseño cometidos hace años.
Opinión de experto: El ataque a Aztec Connect no es solo un incidente técnico, sino un problema sistémico de la industria. Los proyectos que anuncian su «cierre» no solo deben renunciar a las claves, sino realizar una migración completa de la liquidez y destruir los contratos obsoletos. Dejar contratos inteligentes «abandonados» con millones de dólares es como dejar una caja fuerte abierta con dinero en medio de la calle. Mientras la comunidad no establezca estándares claros para la «desactivación», estos incidentes se repetirán.