Crypto news

18.06.2026
13:59

Contrato obsoleto de Aztec hackeado por $2 millones: análisis del incidente y lecciones para el ecosistema L2

El 18 de junio, la red de capa 2 Aztec sufrió otro incidente de seguridad: un contrato inteligente no utilizado fue hackeado con éxito. El daño estimado fue de aproximadamente $2,15 millones. Este evento volvió a atraer la atención sobre los problemas del código heredado en la infraestructura blockchain.

Detalles del ataque: cómo ocurrió

Los analistas de CertiK fueron los primeros en detectar actividad sospechosa, tras lo cual el equipo de Aztec Labs confirmó oficialmente el hackeo. La vulnerabilidad se encontró en el producto de pago obsoleto Aztec Payments, que fue cerrado en 2022. Según la investigación, el hacker explotó un error lógico en la verificación de pruebas del contrato inteligente PrivateRollupBridge. El atacante gastó solo 0,134 ETH (~$230) para ejecutar el ataque.

Alcance y consecuencias

Como resultado del hackeo, se retiraron 1158 ETH, 150 000 DAI y 0,47 renBTC. Es importante destacar que el incidente no afectó a los usuarios ni a los activos en la red actual de Aztec: el ataque se dirigió exclusivamente a un contrato inactivo, aunque aún desplegado.

Contexto: segundo ataque en una semana

Este es el segundo caso en un corto período de tiempo. El 14 de junio, desconocidos vaciaron otro contrato de enrutador obsoleto por casi $2,19 millones. Los representantes de Aztec Labs señalaron que no poseen las claves administrativas ni controlan el sistema, lo que hace imposible congelar los contratos o lanzar actualizaciones para prevenir ataques.

Recordemos que el 8 de junio, hackers comprometieron billeteras vinculadas al proyecto Humanity Protocol, con daños de aproximadamente $31 millones.

Mi análisis y recomendaciones

Esta situación es un ejemplo clásico de los riesgos asociados con el "código muerto" en DeFi. Incluso los productos cerrados continúan existiendo en la blockchain, y si no tienen mecanismos de gestión (por ejemplo, claves administrativas), se convierten en un blanco fácil. Para las redes L2 y los protocolos que buscan la máxima descentralización, es fundamental implementar procedimientos de destrucción total o bloqueo de contratos no utilizados. De lo contrario, corremos el riesgo de presenciar la repetición de tales ataques, donde el daño recae sobre el equipo y la comunidad, que no tienen la capacidad de reaccionar rápidamente.