Los hackers volvieron a vaciar el abandonado Aztec Connect: otros $2,2 millones se esfumaron
El protocolo Aztec Connect, considerado desde hace tiempo como "muerto", continúa generando pérdidas. El 18 de junio, atacantes asestaron un segundo golpe a sus contratos inteligentes, extrayendo aproximadamente otros $2,2 millones. Esto ocurrió solo cuatro días después del primer ataque del 14 de junio, lo que hace que la situación sea particularmente reveladora para toda la industria DeFi.
En esta ocasión, el hacker robó 1158 ETH, 150 000 DAI y aproximadamente 0,47 renBTC. El método de ataque fue idéntico al anterior, pero el atacante apuntó a un grupo de liquidez diferente, utilizando un punto de entrada distinto.
El talón de Aquiles de la "escotilla de emergencia"
La vulnerabilidad residía en la función escapeHatch, un mecanismo que, en teoría, debería permitir a los usuarios retirar fondos de emergencia si el sistema principal falla. El problema es que esta función carecía por completo de controles de acceso. En esencia, la puerta estaba abierta para cualquiera que supiera cómo llamar a ella.
En términos simples, el sistema debería haber verificado que el usuario realmente posee los activos que intenta retirar. Pero debido a un error en el código, este procedimiento podía eludirse. El hacker simplemente presentó una "prueba" de propiedad falsa, y el contrato, sin pestañear, le entregó las criptomonedas de otros.
Lo más alarmante: los desarrolladores eliminaron hace tiempo este módulo vulnerable del código principal. Sin embargo, el contrato ya desplegado en la red aún contenía la versión antigua y "agujereada" del módulo de verificación. La brecha esperó durante años su momento en un código que todos consideraban inactivo.
Por qué era imposible detener el robo
La raíz del problema es que Aztec Connect es un producto abandonado hace mucho tiempo. El protocolo fue dado de baja en 2023, cuando el equipo de Aztec Labs se centró en una nueva red. Tras el cierre, los desarrolladores renunciaron a las claves de administración, haciendo que los contratos fueran inmutables. Esto significa que el código quedó congelado para siempre en la red: no se puede actualizar, corregir ni pausar. El equipo simplemente no tiene la capacidad técnica para intervenir y detener el robo.
Un punto importante: este incidente no afecta al token AZTEC ni a la red activa de Aztec; es un sistema completamente separado. Sin embargo, este caso vuelve a resaltar el peligro oculto de DeFi: incluso los contratos inteligentes abandonados siguen siendo un objetivo mientras contengan dinero. Según DeFiLlama, solo en junio de 2026 se robaron aproximadamente $44 millones como resultado de al menos 12 ataques.
Comentario del analista: Esta historia es una dura lección para todos los participantes del mercado. Los contratos "olvidados" con liquidez son una bomba de tiempo. Hasta que la comunidad no desarrolle estándares para la "eliminación" de protocolos obsoletos (por ejemplo, la retirada forzosa de fondos por parte de los usuarios antes de renunciar a las claves de administración), estos incidentes se repetirán. La atención a los pools "muertos" debe ser la misma que a los proyectos nuevos y no verificados.