El colapso de Aztec Connect: un ataque repetido generó a los hackers otros $2,2 millones
El protocolo abandonado Aztec Connect volvió a ser víctima de atacantes. El 18 de junio, los hackers lograron retirar fondos adicionales por valor de aproximadamente 2,2 millones de dólares de sus contratos inteligentes. Este es el segundo incidente en una semana, tras el ataque ocurrido el 14 de junio.
Detalles del segundo ataque
En esta ocasión, el atacante sustrajo 1158 ETH, 150 000 DAI y aproximadamente 0,47 tokens renBTC. La estructura del ataque repetía en gran medida la anterior, pero estaba dirigida a otro pool de liquidez y se ejecutó a través de un punto de entrada diferente. Especialistas en seguridad, en particular de BlockSec Phalcon y SlowMist, identificaron rápidamente el mecanismo de la vulneración.
La raíz de la vulnerabilidad, como en la ocasión anterior, reside en la función escapeHatch, la llamada "escotilla de emergencia". Este mecanismo fue diseñado para que los usuarios pudieran retirar directamente sus fondos en caso de fallo del sistema principal. Sin embargo, el error crítico consistía en la ausencia de las comprobaciones de permisos adecuadas. Al hacker le bastaba con presentar una "prueba" falsa de propiedad de los activos, y el contrato, sin realizar la verificación, le transfería incondicionalmente los fondos de otros.
Por qué es imposible detener el ataque
La situación se agrava por el hecho de que Aztec Connect es un producto abandonado desde hace tiempo. El protocolo, que servía como puente para operaciones DeFi privadas en Ethereum, fue dado de baja ya en 2023, cuando el equipo de Aztec Labs se centró en el desarrollo de una nueva red.
Tras el cierre, los desarrolladores renunciaron a las claves de control de los contratos, haciéndolos completamente inmutables. Esto significa que el código quedó congelado para siempre en la red: no se puede actualizar, corregir ni pausar. El equipo de Aztec Labs simplemente no tiene la capacidad técnica para intervenir y detener el robo.
Es importante destacar que este incidente no afecta ni al token AZTEC ni a la red activa de Aztec: se trata de un sistema completamente aislado. Sin embargo, este caso sirve como un poderoso recordatorio del peligro oculto de DeFi: incluso los contratos inteligentes "muertos" y abandonados siguen siendo un objetivo mientras contengan fondos.
Mi análisis: Esta situación es un ejemplo clásico de cómo descuidar el principio de "no hacer daño" al abandonar un proyecto puede traducirse en pérdidas financieras directas para los usuarios. Los incidentes con Aztec Connect deberían ser una señal de alarma para toda la industria: al cerrar un protocolo, es necesario prever mecanismos de migración segura o liquidación completa de los contratos, y no simplemente dejarlos "a la deriva para siempre". Según DeFiLlama, solo en junio de 2026, al menos 12 ataques resultaron en el robo de aproximadamente 44 millones de dólares, y esta cifra no hará más que aumentar si no se cambia el enfoque en la gestión de contratos inteligentes obsoletos.