Jembatan Aztec Private Rollup Disusupi untuk Pencurian Aset Senilai $2,15 Juta

Proyek penskalaan Ethereum yang berfokus pada privasi Aztec, Private Rollup Bridge, dieksploitasi untuk sekitar 2,15 juta dolar AS aset yang dicuri, termasuk 1.158 ETH, 150.000 DAI, dan 0,47 renBTC, menurut data transaksi di rantai. Analisis awal oleh peneliti keamanan Cos menyarankan penyerang menyalahgunakan mekanisme “Escape Hatch” jembatan tersebut dengan mengirimkan bukti rollup yang dimanipulasi dan diterima oleh verifikator, sehingga kontrak melepas cadangan kustodian. Ini menandai insiden keamanan besar kedua yang melibatkan infrastruktur Aztec versi lama dalam hitungan hari, setelah eksploit terpisah terhadap sistem Connect proyek yang sudah dinonaktifkan lebih awal bulan ini.

Penyerang Diduga Mengeksploitasi Mekanisme Escape Hatch

Peneliti keamanan Cos membagikan analisis yang menunjukkan penyerang menyalahgunakan mekanisme “Escape Hatch” Aztec di dalam kontrak RollupProcessor. Fitur ini dirancang sebagai langkah keselamatan yang memungkinkan pengguna mengirimkan bukti rollup selama jendela tertentu jika operasi normal terganggu. Para peneliti mengklaim penyerang menyusun bukti yang memuat nilai output publik yang dimanipulasi, yang diterima oleh verifikator. Kontrak diduga melepas aset langsung dari cadangan kustodiannya. Penarikan mencurigakan itu mencakup 1.158 ETH, 150.000 DAI, dan 0,46963295 renBTC. Perusahaan keamanan blockchain PeckShield kemudian memperkirakan total kerugian sekitar 2,16 juta dolar AS. Aset curian selanjutnya ditransfer ke dompet yang dikendalikan oleh pelaku.

Insiden Soroti Tantangan Keamanan Berkelanjutan untuk Bridge

Insiden ini menyoroti tantangan berkelanjutan yang dihadapi bridge blockchain dan infrastruktur rollup. Bridge tetap menjadi salah satu vektor serangan yang paling sering ditargetkan di keuangan terdesentralisasi. Analis keamanan mencatat bahwa kerusakan finansial relatif kecil dibandingkan beberapa eksploit bridge bersejarah. Namun, kerentanan yang berulang dapat berdampak lebih luas pada kepercayaan pengguna. Pengamat industri memperingatkan bahwa kepercayaan sering kali menjadi korban terbesar setelah serangan bridge, terutama ketika proyek mengalami beberapa insiden keamanan dalam waktu singkat.

Aztec Foundation Mengonfirmasi Eksploit Produk yang Sudah Dinonaktifkan

Aztec Foundation dan Aztec Labs mengakui insiden tersebut pada 18 Juni, menyatakan mereka sedang menyelidiki potensi eksploit yang memengaruhi produk pembayaran Aztec yang sudah dinonaktifkan dan diluncurkan pada 2021. Menurut pernyataan mereka, sistem yang terdampak adalah immutable Stage 2 rollup yang dihentikan pada 2022. Sistem ini sudah dinonaktifkan selama empat tahun dan tidak terhubung dengan jaringan Aztec saat ini atau token AZTEC ERC-20. Tim menyatakan mereka akan memberikan pembaruan lebih lanjut seiring penyelidikan berlanjut. Penyerang yang diduga dilaporkan didanai melalui dompet yang terhubung dengan bursa kripto HitBTC sebelum menjalankan eksploit, menurut penyelidik on-chain.

FAQ

Apa yang terjadi pada Aztec's Private Rollup Bridge?

Aztec's Private Rollup Bridge dieksploitasi untuk sekitar 2,15 juta dolar AS aset, termasuk 1.158 ETH, 150.000 DAI, dan 0,47 renBTC. Analisis awal menunjukkan penyerang menyalahgunakan mekanisme “Escape Hatch” jembatan dengan mengirimkan bukti rollup yang dimanipulasi dan diterima oleh verifikator, sehingga kontrak melepas cadangan kustodian.

Bagaimana Aztec merespons eksploit tersebut?

Aztec Foundation mengakui insiden pada 18 Juni dan menyatakan mereka sedang menyelidiki potensi eksploit yang memengaruhi produk pembayaran yang sudah dinonaktifkan dan diluncurkan pada 2021. Sistem yang terdampak dihentikan pada 2022, sudah dinonaktifkan selama empat tahun, dan tidak terhubung dengan jaringan Aztec saat ini atau token AZTEC ERC-20. Tim mengatakan mereka akan memberikan pembaruan lebih lanjut seiring penyelidikan berlanjut.