Ponte do Aztec Private Rollup explorada para roubo de ativos no valor de 2,15 milhões de dólares

O projecto de escalabilidade do Ethereum orientado para a privacidade da Aztec, o Private Rollup Bridge, foi explorado por aproximadamente 2,15 milhões de dólares em activos roubados, incluindo 1.158 ETH, 150.000 DAI e 0,47 renBTC, segundo dados de transacções na cadeia. A análise inicial da investigadora de segurança Cos sugere que o atacante abusou do mecanismo da “Escape Hatch” da ponte, ao submeter provas de rollup manipuladas que o verificador aceitou, levando o contrato a libertar as reservas em custódia. Este é o segundo grande incidente de segurança envolvendo infra-estruturas legadas da Aztec em poucos dias, após um exploit separado do sistema Connect descontinuado do projecto no início deste mês.

Supostamente, o atacante explorou o mecanismo “Escape Hatch”

A investigadora de segurança Cos partilhou uma análise que indica que o atacante abusou do mecanismo “Escape Hatch” da Aztec no contrato RollupProcessor. A funcionalidade foi concebida como medida de segurança, permitindo que os utilizadores enviassem provas de rollup durante janelas específicas, caso as operações normais fossem interrompidas. Os investigadores afirmam que o atacante criou provas com valores de saída públicos manipulados, que foram aceites pelo verificador. Alegadamente, o contrato libertou activos directamente das suas reservas em custódia. As retiradas suspeitas incluíram 1.158 ETH, 150.000 DAI e 0,46963295 renBTC. Mais tarde, a empresa de segurança de blockchain PeckShield estimou perdas totais em aproximadamente 2,16 milhões de dólares. Os activos roubados foram depois transferidos para carteiras controladas pelo explorador.

Destaques do incidente: desafios contínuos na segurança de pontes

O incidente evidencia os desafios contínuos enfrentados pelas pontes blockchain e pela infra-estrutura de rollup. As pontes continuam a ser um dos vectores de ataque mais frequentemente visados na finança descentralizada. Analistas de segurança referiram que o dano financeiro é relativamente modesto face a alguns exploits históricos de pontes. No entanto, vulnerabilidades repetidas podem ter um impacto mais amplo na confiança dos utilizadores. Observadores da indústria alertam que a confiança acaba muitas vezes por ser o maior prejuízo após ataques a pontes, especialmente quando os projectos enfrentam vários incidentes de segurança num curto espaço de tempo.

A Fundação Aztec confirma o exploit de um produto descontinuado

A Fundação Aztec e a Aztec Labs reconheceram o incidente a 18 de Junho, afirmando que estão a investigar um potencial exploit que afecta um produto de pagamentos Aztec descontinuado, lançado em 2021. De acordo com as suas declarações, o sistema afectado é um rollup Stage 2 imutável, que foi desactivado em 2022. Foi descontinuado durante quatro anos e não está ligado à rede Aztec actual nem ao token AZTEC ERC-20. As equipas afirmaram que disponibilizarão mais actualizações à medida que a investigação prosseguir. O alegado atacante terá sido financiado através de uma carteira ligada à exchange de cripto HitBTC antes de executar o exploit, segundo investigadores on-chain.

FAQ

O que aconteceu com a Private Rollup Bridge da Aztec?

A Private Rollup Bridge da Aztec foi explorada por aproximadamente 2,15 milhões de dólares em activos, incluindo 1.158 ETH, 150.000 DAI e 0,47 renBTC. A análise inicial sugere que o atacante abusou do mecanismo “Escape Hatch” da ponte, ao submeter provas de rollup manipuladas que foram aceites pelo verificador, levando o contrato a libertar as reservas em custódia.

Como é que a Aztec respondeu ao exploit?

A Fundação Aztec reconheceu o incidente a 18 de Junho e afirmou que está a investigar um potencial exploit que afecta um produto de pagamentos descontinuado lançado em 2021. O sistema afectado foi desactivado em 2022, foi descontinuado durante quatro anos e não está ligado à rede Aztec actual nem ao token AZTEC ERC-20. As equipas disseram que vão fornecer mais actualizações à medida que a investigação continuar.