Aztec Connect, một nền tảng tài chính phi tập trung đã lỗi thời, đã bị mất khoảng 2,1 triệu đô la tiền điện tử vào Chủ nhật sau khi một kẻ tấn công khai thác chức năng xác minh của nó.
Hôm Chủ nhật, Aztec Labs đăng tải trên X rằng họ đang "điều tra một lỗ hổng tiềm tàng ảnh hưởng đến Aztec Connect", đồng thời cho biết thêm khoảng 2,1 triệu đô la đã bị chuyển từ hợp đồng thông minh của nền tảng, nhưng không ảnh hưởng đến người dùng hoặc tài sản trên mạng Aztec hiện tại.
Vụ tấn công này là vụ mới nhất trong số 44 triệu đô la tiền điện tử đã bị đánh cắp trong tháng này từ ít nhất 12 vụ tấn công khác, theo DefiLlama.
Vụ xâm phạm khóa riêng trên Giao thức Humanity là vụ việc lớn nhất tính đến thời điểm hiện tại trong tháng 6, với thiệt hại 30 triệu đô la vào ngày 8 tháng 6, tiếp theo là Cầu nối Syscoin , nơi 8 triệu đô la bị đánh cắp trong một vụ khai thác bằng chứng giả mạo vào ngày hôm trước.
Công ty bảo mật tiền điện tử BlockSec cho biết kẻ tấn công đã lợi dụng sự không khớp trong cách nền tảng xác minh giao dịch và thanh toán chúng trên Ethereum.
Thông báo cho biết các giao dịch đã được xác minh trên hợp đồng của Aztec Connect “không thực sự bị ràng buộc bởi tập hợp giao dịch được thực thi bởi bằng chứng ZK”, cho phép đường dẫn xác minh và logic thanh toán trên Ethereum “diễn giải danh sách giao dịch theo cách khác nhau”.
Kẻ tấn công sau đó có thể thực hiện các giao dịch mà hợp đồng ghi nhận giá trị mà không cần xác thực trên Ethereum, tạo ra số dư không được đảm bảo có thể rút ra. Kẻ tấn công đã thực hiện điều này bảy lần trên bảy loại tài sản khác nhau.
Kẻ tấn công đã lấy đi 909 Ether ( $ETH ), 270.000 Dai (Dai), 167 $ETH được đóng gói và một số loại tiền điện tử khác.
Một số tài sản bị đánh cắp trong vụ tấn công này. Nguồn: CertiK
Aztec Network là một nền tảng tổng hợp zero-knowledge (ZK) lớp 2 tập trung vào quyền riêng tư trên Ethereum. Aztec Connect là phiên bản trước đó của nền tảng này, được ra mắt vào năm 2022 như một cầu nối DeFi .
Aztec Connect đã bị ngừng hoạt động vào tháng 3 năm 2023, việc nạp tiền bị tạm dừng và nhóm phát triển chuyển nguồn lực sang mạng lưới Aztec thế hệ tiếp theo.
“Aztec Labs không nắm giữ bất kỳ quyền quản trị hay kiểm soát nào đối với hệ thống; chúng tôi không thể tạm dừng hoặc nâng cấp hệ thống này”, nhóm phát triển cho biết.
Công ty phát triển tiền điện tử “Param” cho biết các hợp đồng thông minh của Aztec Connect đã trở nên “hoàn toàn bất biến” và không thể được nâng cấp hoặc tạm dừng nữa.
“Vụ việc này là một lời nhắc nhở nữa rằng các hợp đồng DeFi bị bỏ rơi vẫn có thể trở thành mục tiêu tấn công nhiều năm sau đó,” họ nói.
