Crypto news

18.06.2026
13:06

El contrato olvidado de Aztec Connect fue robado nuevamente: los hackers se llevaron otros $2,2 millones

El protocolo de privacidad abandonado Aztec Connect continúa generando pérdidas. El 18 de junio, los atacantes lo atacaron nuevamente, extrayendo aproximadamente $2,2 millones. Este es el segundo incidente en una semana: el primer ataque ocurrió el 14 de junio, y ahora el hacker encontró otra forma de vaciar los pools de liquidez.

Esta vez, la víctima fue otro pool de fondos. El hacker robó 1158 ETH, 150 000 DAI y alrededor de 0,47 tokens renBTC. El monto total de daños por los dos ataques supera los $4 millones, y esto es una señal alarmante para todo el ecosistema DeFi.

Cómo funcionó la vulnerabilidad

La raíz del problema radica en la función escapeHatch, un mecanismo que alguna vez fue concebido como una "escotilla de emergencia" para retirar fondos de los usuarios en caso de falla del sistema principal. Los desarrolladores de Aztec, al cerrar el proyecto en 2023, eliminaron esta función del código principal. Sin embargo, como mostró el análisis, el contrato inteligente desplegado en la red aún contenía un módulo de verificación antiguo, carente de cualquier control de permisos de acceso.

En esencia, el hacker aprovechó la falta de verificación: simplemente presentó una "prueba" falsa de propiedad de los activos, y el contrato, sin poder verificar la autenticidad, entregó sin objeciones los fondos ajenos. Esta brecha esperó su momento durante años en un código que todos consideraban inactivo.

Por qué fue imposible detener el ataque

La tragedia clave de esta situación radica en la característica arquitectónica de Aztec Connect. Tras el cierre del proyecto, el equipo de Aztec Labs renunció a las claves de control, haciendo que los contratos fueran completamente inmutables (immutable). Esto significa que el código quedó congelado para siempre en la red: no se puede actualizar, corregir ni pausar. Los desarrolladores simplemente no tienen la capacidad técnica para intervenir y detener el robo.

Es importante destacar: este incidente no está relacionado de ninguna manera con el token AZTEC ni con la red activa de Aztec. Es un sistema completamente aislado y muerto. Pero el caso en sí es una ilustración vívida del peligro oculto de DeFi: incluso los contratos inteligentes abandonados siguen siendo un objetivo codiciado mientras contengan fondos. Según datos de DeFiLlama, solo en junio de 2026, al menos 12 ataques resultaron en el robo de aproximadamente $44 millones.

Mi comentario como analista: Este caso no es solo una historia sobre código deficiente. Es una lección fundamental para toda la industria. Los contratos abandonados con fondos congelados son "bombas de tiempo". Los equipos de proyectos deben implementar mecanismos de "autodestrucción" o retiro forzoso de liquidez al cerrar un producto. De lo contrario, seguiremos viendo incidentes como este una y otra vez, hasta que los hackers lo saqueen todo hasta el fondo.