Crypto news

18.06.2026
14:14

Explotación del contrato obsoleto de Aztec: un hacker extrajo $2,15 millones de un protocolo L2 inactivo

хакеры hackers, перемещение средств

El 18 de junio de 2026, mi grupo de análisis detectó un incidente en la red de capa 2 Aztec. Un atacante logró atacar un contrato inteligente no utilizado, extrayendo fondos por un valor aproximado de $2,15 millones. El ataque se dirigió a un producto obsoleto de Aztec Payments, que había sido cerrado ya en 2022.

Los primeros en identificar la anomalía fueron los especialistas de CertiK, tras lo cual el equipo de Aztec Labs confirmó oficialmente el hackeo. La vulnerabilidad se encontró en la lógica de verificación de pruebas del contrato PrivateRollupBridge. El hacker gastó solo 0,134 ETH (~$230) para ejecutar el ataque, lo que resalta la alta eficiencia del exploit utilizado.

Como resultado del incidente, el atacante logró extraer 1158 ETH, 150 000 DAI y 0,47 renBTC. Es importante señalar que la red activa actual de Aztec y sus usuarios no se vieron afectados: el ataque solo impactó componentes inactivos.

Amenaza recurrente en un mismo ecosistema

Este es el segundo caso en un corto período de tiempo. El 14 de junio, otro contrato de enrutador obsoleto fue vaciado por casi $2,19 millones. Esta secuencia de eventos plantea interrogantes sobre la seguridad de los componentes heredados en el ecosistema de Aztec.

Los representantes de Aztec Labs declararon que no poseen claves administrativas ni controlan los contratos vulnerables. Esto significa que el equipo no puede congelarlos ni lanzar una actualización para prevenir futuros ataques. Esta situación demuestra claramente los riesgos asociados con contratos inteligentes irreversibles que quedan sin soporte tras la finalización de un proyecto.

Mi comentario experto: Este incidente subraya la importancia crítica de auditar y desactivar oportunamente los contratos obsoletos. Incluso los protocolos abandonados pueden convertirse en un objetivo atractivo para los hackers, especialmente si aún contienen activos líquidos. Los equipos de proyectos deben implementar mecanismos de bloqueo automático o migración de fondos desde contratos no utilizados para prevenir este tipo de ataques en el futuro.