Segundo golpe a Aztec Connect: hackers retiraron otros $2,2 millones del protocolo abandonado
El abandonado protocolo de privacidad Aztec Connect sigue atrayendo la atención de los atacantes. El 18 de junio registré un nuevo ataque a sus contratos inteligentes, que resultó en el robo de aproximadamente $2,2 millones en criptomonedas. Este es el segundo incidente en una semana, tras el hackeo del 14 de junio, lo que indica una vulnerabilidad sistémica que los hackers están explotando activamente.
Cómo ocurrió el robo repetido
En esta ocasión, el atacante extrajo 1158 ETH, 150 000 DAI y aproximadamente 0,47 tokens renBTC. El método de ataque repite en gran medida el anterior: el hacker volvió a utilizar una vulnerabilidad en la función escapeHatch (escotilla de emergencia). Este mecanismo fue diseñado como una salida de respaldo para los usuarios, permitiendo retirar fondos directamente en caso de fallo del sistema principal. Sin embargo, el error crítico radicaba en la falta de verificación de permisos de acceso: la puerta estaba abierta para cualquiera.
La esencia del exploit es simple: el sistema debía verificar que el usuario realmente posee los activos que intenta retirar. Debido a un defecto en el código, el hacker pudo presentar una "prueba" falsa de propiedad, y el contrato, sin realizar la verificación adecuada, le entregó los fondos de otros. Es notable que los desarrolladores eliminaron hace tiempo el mecanismo vulnerable del código principal, pero el contrato desplegado en la red aún contenía el antiguo módulo de verificación. En esencia, la brecha esperó durante años su momento en un código que todos consideraban inactivo.
Por qué fue imposible detener el ataque
La raíz del problema radica en el estado de Aztec Connect. Es un producto abandonado hace tiempo, que fue dado de baja ya en 2023, cuando el equipo de Aztec Labs se centró en una nueva red. Tras el cierre, los desarrolladores renunciaron a las claves de control, y los contratos se volvieron inmutables. Esto significa que el código quedó congelado para siempre en la red: no se puede actualizar, corregir ni pausar. El equipo simplemente no tiene la capacidad técnica de intervenir y detener el robo.
Es importante destacar que este incidente no afecta ni al token AZTEC ni a la red activa de Aztec; se trata de un sistema completamente separado. No obstante, el caso demuestra una vez más el peligro oculto de DeFi: incluso los contratos inteligentes abandonados siguen siendo un objetivo mientras contengan dinero. Según datos de DeFiLlama, solo en junio de 2026 se robaron alrededor de $44 millones como resultado de al menos 12 ataques.
Opinión del experto: Este incidente es un claro ejemplo de cómo los protocolos "olvidados" se convierten en bombas de tiempo para el ecosistema. Los usuarios deberían evaluar críticamente los riesgos al interactuar con cualquier contrato inteligente, especialmente si el proyecto ha cesado oficialmente su soporte. La falta de capacidad para actualizar el código no es una protección, sino una vulnerabilidad fatal si el contrato aún contiene activos.