Aztec Connect vidé de 2,1 millions de dollars après une exploitation de vérification

Aztec Connect, une plateforme de finance décentralisée (DeFi) dépréciée, a été vidée d’environ 2,1 millions de dollars dimanche après qu’un attaquant a exploité une faille dans sa fonction de vérification. Aztec Labs a confirmé que l’incident a touché le contrat intelligent de la plateforme, mais a indiqué que les utilisateurs et les actifs sur le réseau Aztec actuel n’étaient pas affectés. L’exploit visait une ancienne version du système d’Aztec lancée en 2022 et dépréciée en mars 2023, soulignant des risques de sécurité persistants dans des contrats intelligents immuables conservant une valeur accessible même après la fin du développement actif.

L’attaquant a exploité une incohérence de vérification et de règlement

La société de sécurité crypto BlockSec a identifié la cause principale comme un décalage entre la manière dont Aztec Connect vérifiait les transactions et la manière dont ces transactions étaient réglées sur Ethereum. D’après BlockSec, les transactions vérifiées sur le contrat d’Aztec Connect étaient « pas effectivement liées à l’ensemble de transactions appliqué par la preuve ZK ». Cela a permis à la voie de vérification et à la logique de règlement sur Ethereum « d’interpréter différemment la liste des transactions ».

La faiblesse a permis à l’attaquant de placer des transactions où le contrat créditait de la valeur sans la valider correctement sur Ethereum. Ces crédits ont créé des soldes non adossés, qui pouvaient ensuite être retirés. L’attaquant a répété ce processus sept fois sur sept actifs différents.

Sept actifs dérobés, dont 909 ETH et 270 000 DAI

Les actifs volés comprenaient 909 Ether, 270 000 Dai, 167 staked ETH enveloppés, et plusieurs autres cryptomonnaies. Aztec Labs a déclaré qu’environ 2,1 millions de dollars avaient été transférés depuis le contrat intelligent de la plateforme. L’exploit a touché Aztec Connect, qui a été lancé en 2022 comme un pont DeFi et dont les dépôts ont été stoppés en mars 2023 lorsque l’équipe a redirigé ses ressources vers le réseau Aztec de prochaine génération.

Des contrats immuables ont empêché toute intervention d’un administrateur

Aztec Labs a déclaré : « Aztec Labs ne détient aucune clé admin ni aucun contrôle sur le système ; il ne peut pas être mis en pause ou mis à niveau par nous. » Le développeur crypto Param a dit qu’Aztec Connect a rendu ses contrats intelligents « entièrement immuables » et qu’ils ne pouvaient plus être mis à niveau ni mis en pause. Sans contrôles admin, l’équipe ne pouvait pas arrêter les retraits, corriger la logique de vérification, ni geler les soldes exposés après le début d’une activité suspecte.

Les exploits DeFi de juin ont totalisé au moins 44 millions de dollars

Au moins 44 millions de dollars ont été volés jusqu’à présent ce mois-ci via plusieurs exploits, d’après les données de DeFiLlama. Le plus gros incident de juin a été une compromission de clé privée sur Humanity Protocol, où 30 millions de dollars ont été perdus le 8 juin. Le Syscoin Bridge a aussi perdu 8 millions de dollars dans un exploit de fausse preuve le jour précédent. Le réseau Aztec actuel n’a pas été affecté par l’exploit d’Aztec Connect, selon l’équipe.

FAQ

Qu’est-ce qui a causé l’exploit d’Aztec Connect dimanche ?
Un attaquant a exploité une faille dans la fonction de vérification d’Aztec Connect, où les transactions vérifiées n’étaient pas effectivement liées à l’ensemble de transactions appliqué par la preuve ZK, permettant à la voie de vérification et à la logique de règlement sur Ethereum d’interpréter différemment la liste des transactions.

Combien a été volé sur Aztec Connect et quels actifs ont été pris ?
Environ 2,1 millions de dollars ont été vidés du contrat intelligent d’Aztec Connect, dont 909 Ether, 270 000 Dai, 167 staked ETH enveloppés, et plusieurs autres cryptomonnaies sur sept actifs différents.