El contrato inteligente obsoleto de Aztec fue hackeado por $2 millones: detalles del incidente

El 18 de junio se produjo un ataque a un contrato inteligente no utilizado en la red L2 Aztec. Según estimaciones preliminares, el daño ascendió a aproximadamente 2,15 millones de dólares. El atacante aprovechó una vulnerabilidad en la lógica de verificación de pruebas del contrato PrivateRollupBridge, gastando solo 0,134 ETH (~230 dólares) para ejecutar el ataque. Como resultado, logró retirar 1158 ETH, 150 000 DAI y 0,47 renBTC.
La vulnerabilidad fue detectada por los analistas de CertiK, quienes fueron los primeros en registrar actividad sospechosa. Posteriormente, el equipo de desarrolladores de Aztec Labs confirmó el incidente. El problema afectó al producto de pago obsoleto Aztec Payments, que fue cerrado en 2022. Es importante destacar que el ataque no afectó a los usuarios ni a los activos en la versión actual de la red del proyecto.
Este es ya el segundo incidente de seguridad para Aztec en los últimos días. El 14 de junio, desconocidos vaciaron otro contrato de enrutamiento obsoleto, robando casi 2,19 millones de dólares. Los representantes de Aztec Labs señalaron que no poseen las claves administrativas ni controlan el sistema, por lo que no pueden congelar los contratos ni lanzar una actualización para prevenir el ataque.
Recordemos que el 8 de junio, hackers comprometieron billeteras vinculadas al proyecto Humanity Protocol, causando daños por aproximadamente 31 millones de dólares.
Comentario de expertos: Este incidente vuelve a subrayar la importancia crítica de la gestión del ciclo de vida de los contratos inteligentes. Los contratos obsoletos pero inmutables se convierten en «bombas de tiempo» para el ecosistema. Los proyectos deben implementar mecanismos de desactivación forzosa o migración de activos desde contratos abandonados; de lo contrario, ataques como este se repetirán con alarmante regularidad.