El contrato obsoleto de Aztec fue hackeado por $2 millones: el hacker aprovechó una vulnerabilidad lógica

El 18 de junio, un atacante llevó a cabo un ataque exitoso contra un contrato inteligente no utilizado en la red L2 Aztec. Según mis estimaciones, el daño total ascendió a aproximadamente $2,15 millones. El incidente fue detectado rápidamente por los analistas de CertiK y posteriormente confirmado por el equipo de desarrolladores de Aztec Labs.
Detalles del ataque
La vulnerabilidad se encontró en el producto de pago obsoleto Aztec Payments, que fue cerrado en 2022. El hacker aprovechó un error lógico en la verificación de pruebas del contrato inteligente PrivateRollupBridge. Para ejecutar el ataque, el atacante gastó solo 0,134 ETH, equivalentes a aproximadamente $230. Como resultado, logró retirar 1158 ETH, 150 000 DAI y 0,47 renBTC.
Es importante señalar que este incidente no afectó a los usuarios ni a los activos en la versión actual de la red Aztec. El ataque se realizó exclusivamente contra un contrato obsoleto que no se utiliza en el ecosistema actual del proyecto.
Vulnerabilidad recurrente
Este es el segundo caso de hackeo de contratos obsoletos de Aztec en los últimos días. El 14 de junio, desconocidos vaciaron otro contrato de enrutador antiguo, causando daños por casi $2,19 millones. Los representantes de Aztec Labs enfatizaron que no poseen las claves administrativas ni controlan el sistema, por lo que no pueden congelar ni actualizar los contratos para prevenir futuros ataques.
Análisis experto
Desde mi punto de vista, la situación con Aztec demuestra un problema crítico en la gestión de contratos inteligentes obsoletos. Incluso después del cierre de un producto, si los contratos permanecen inmutables y sin control, se convierten en un objetivo atractivo para los hackers. Esto también recuerda el reciente hackeo de Humanity Protocol por $31 millones, lo que subraya una tendencia creciente de ataques a contratos inteligentes vulnerables pero inactivos. Recomiendo a todos los proyectos realizar una auditoría completa y, si es posible, desactivar o congelar los contratos obsoletos para minimizar los riesgos.