Una vulnerabilidad en un contrato obsoleto de Aztec provocó una pérdida de $2 millones: análisis detallado del incidente
El 18 de junio, un contrato inteligente no utilizado en la red de segunda capa Aztec fue hackeado, lo que provocó pérdidas de aproximadamente 2,15 millones de dólares. El incidente afectó al producto de pago obsoleto Aztec Payments, que fue retirado ya en 2022. Es importante destacar que el ataque no afectó a los usuarios actuales ni a los activos que se encuentran en la versión actual de la red.
Los primeros en notar la actividad anómala fueron los analistas de CertiK, tras lo cual el equipo de desarrolladores de Aztec Labs confirmó el hackeo. La vulnerabilidad se encontró en la lógica de verificación de pruebas del contrato PrivateRollupBridge. El atacante gastó solo 0,134 ETH (aproximadamente 230 dólares) para llevar a cabo el ataque, lo que subraya el umbral de entrada extremadamente bajo para explotar este tipo de vulnerabilidades cuando el código permanece sin cambios y sin soporte.
Como resultado, el hacker extrajo 1158 ETH, 150 000 DAI y 0,47 renBTC, activos por un valor total de más de 2 millones de dólares. Cabe destacar que para Aztec este es ya el segundo incidente en los últimos días. El 14 de junio, otro contrato de enrutador obsoleto fue vaciado por casi 2,19 millones de dólares.
El problema clave, en mi opinión, es que los representantes de Aztec Labs no poseen las claves administrativas ni controlan el sistema. Esto significa que el equipo no puede congelar los contratos ni lanzar una actualización para prevenir futuros ataques. Esta arquitectura, característica de las soluciones descentralizadas, se convierte en el talón de Aquiles cuando se trata de contratos inteligentes antiguos y no utilizados que permanecen abiertos a la explotación.
A modo de comparación, el 8 de junio, hackers comprometieron billeteras vinculadas al proyecto Humanity Protocol, causando daños por 31 millones de dólares. Estos incidentes subrayan una tendencia creciente: los atacantes cazan cada vez más contratos abandonados, donde la falta de soporte y actualizaciones los convierte en presa fácil. El mercado necesita implementar urgentemente mecanismos de desactivación o retiro automático de fondos de contratos inteligentes obsoletos para evitar pérdidas similares en el futuro.