Puente del Aztec Private Rollup explotado para robar activos por valor de 2,15M de dólares

El proyecto de escalado de Ethereum centrado en la privacidad de Aztec, el Private Rollup Bridge, fue explotado por aproximadamente 2,15 millones de dólares en activos robados, incluidos 1.158 ETH, 150.000 DAI y 0,47 renBTC, según datos de transacciones en la cadena. Un análisis inicial del investigador de seguridad Cos sugiere que el atacante abusó del mecanismo “Escape Hatch” del puente enviando pruebas de rollup manipuladas que el verificador aceptó, lo que hizo que el contrato liberara las reservas en custodia. Este caso marca el segundo gran incidente de seguridad que involucra infraestructura heredada de Aztec en cuestión de días, tras un exploit separado del sistema Connect, ya descontinuado, del proyecto a inicios de este mes.

Se alega que el atacante explotó el mecanismo Escape Hatch

El investigador de seguridad Cos compartió un análisis que indica que el atacante abusó del mecanismo “Escape Hatch” de Aztec dentro del contrato RollupProcessor. La función fue diseñada como una medida de seguridad para permitir a los usuarios enviar pruebas de rollup durante ventanas específicas si las operaciones normales se interrumpían. Los investigadores afirman que el atacante elaboró pruebas que incluían valores de salida públicos manipulados, los cuales fueron aceptados por el verificador. El contrato, presuntamente, liberó activos directamente desde sus reservas en custodia. Los retiros sospechosos incluyeron 1.158 ETH, 150.000 DAI y 0,46963295 renBTC. La firma de seguridad blockchain PeckShield estimó posteriormente las pérdidas totales en aproximadamente 2,16 millones de dólares. Los activos robados fueron transferidos después a carteras controladas por el explotador.

El incidente resalta los desafíos continuos de seguridad en puentes

El incidente pone de manifiesto los retos continuos a los que se enfrentan los puentes blockchain y la infraestructura de rollup. Los puentes siguen siendo uno de los vectores de ataque más frecuentemente apuntados en las finanzas descentralizadas. Analistas de seguridad señalaron que el daño financiero es relativamente modesto en comparación con algunos exploits históricos de puentes. Sin embargo, las vulnerabilidades repetidas pueden tener un impacto más amplio en la confianza de los usuarios. Observadores de la industria advierten que la confianza a menudo se convierte en la mayor víctima tras ataques a puentes, especialmente cuando los proyectos sufren múltiples incidentes de seguridad en un periodo corto.

La Fundación Aztec confirma el exploit del producto descontinuado

La Fundación Aztec y Aztec Labs reconocieron el incidente el 18 de junio, indicando que están investigando un posible exploit que afecta a un producto de pagos de Aztec descontinuado lanzado en 2021. Según sus declaraciones, el sistema afectado es un rollup Stage 2 inmutable que se cerró en 2022. Lleva descontinuado desde hace cuatro años y no está conectado a la red Aztec actual ni al token AZTEC ERC-20. Los equipos indicaron que proporcionarán más actualizaciones a medida que avance la investigación. Presuntamente, el atacante fue financiado a través de una cartera vinculada al exchange de criptomonedas HitBTC antes de ejecutar el exploit, según investigadores on-chain.

FAQ

¿Qué le pasó al Private Rollup Bridge de Aztec?

El Private Rollup Bridge de Aztec fue explotado por aproximadamente 2,15 millones de dólares en activos, incluidos 1.158 ETH, 150.000 DAI y 0,47 renBTC. El análisis inicial sugiere que el atacante abusó del mecanismo “Escape Hatch” del puente enviando pruebas de rollup manipuladas que fueron aceptadas por el verificador, lo que hizo que el contrato liberara reservas en custodia.

¿Cómo respondió Aztec al exploit?

La Fundación Aztec reconoció el incidente el 18 de junio y afirmó que están investigando un posible exploit que afecta a un producto de pagos descontinuado lanzado en 2021. El sistema afectado se cerró en 2022, está descontinuado desde hace cuatro años y no está conectado a la red Aztec actual ni al token AZTEC ERC-20. Los equipos dijeron que proporcionarán más actualizaciones a medida que avance la investigación.