Crypto news

18.06.2026
12:10

El contrato obsoleto de Aztec vuelve a estar bajo ataque: un hacker retiró $2,15 millones

хакеры hackers, перемещение средств

El 18 de junio, un atacante atacó con éxito un contrato inteligente inactivo en la red de segunda capa Aztec. Según mis estimaciones, el daño asciende a aproximadamente $2,15 millones. Este es el segundo incidente en una semana y demuestra claramente los riesgos asociados con el legado de protocolos antiguos.

El ataque se dirigió al producto obsoleto Aztec Payments, que fue retirado ya en 2022. Es importante destacar: la infraestructura actual del proyecto y los fondos de los usuarios en la red activa no se vieron afectados. La vulnerabilidad se encontró en el contrato PrivateRollupBridge: el hacker aprovechó una brecha en la lógica de verificación de pruebas. Para ejecutar el ataque, gastó solo 0,134 ETH (aproximadamente $230), lo que indica un profundo conocimiento del código.

Como resultado de la extracción, el atacante obtuvo 1158 ETH, 150 000 DAI y 0,47 renBTC. El valor total de los activos robados supera los $2 millones.

El equipo de Aztec Labs confirmó el incidente, pero señaló que no posee claves administrativas y no puede congelar los contratos ni lanzar una actualización. Este es un problema característico de los contratos inteligentes inmutables (no actualizables): una vez que el código se despliega, el control sobre él se pierde para siempre. En este caso, el contrato obsoleto estaba congelado en la segunda capa, pero el atacante encontró una forma de eludir su lógica.

Recordemos que el 14 de junio, un ataque similar afectó a otro contrato de enrutador antiguo, con daños de casi $2,19 millones. En conjunto, esto suma más de $4 millones en un corto período, lo que indica un problema sistémico: los contratos olvidados pero aún activos son un objetivo atractivo para los hackers.

Mi análisis: Este incidente es un claro ejemplo de por qué los proyectos deben realizar auditorías y desactivar oportunamente los contratos antiguos, en lugar de simplemente dejarlos en la red. La falta de mecanismos de gestión después del despliegue es un arma de doble filo: por un lado, ofrece seguridad contra la censura; por otro, deja indefenso ante las vulnerabilidades. Si Aztec no encuentra una forma de proteger su legado, estos ataques se volverán regulares.