Le pont d’Aztec Private Rollup a été exploité pour un vol d’actifs de 2,15 millions de dollars

Le projet Ethereum axé sur la confidentialité Aztec, via son Private Rollup Bridge, a été exploité pour environ 2,15 millions de dollars d’actifs volés, incluant 1 158 ETH, 150 000 DAI et 0,47 renBTC, d’après des données de transactions on-chain. Une première analyse du chercheur en sécurité Cos suggère que l’attaquant a abusé du mécanisme « Escape Hatch » du pont en soumettant des preuves de rollup manipulées que le vérificateur a acceptées, entraînant le déblocage de réserves détenues par le contrat. Il s’agit du deuxième incident majeur de sécurité impliquant l’infrastructure historique d’Aztec en l’espace de quelques jours, après un exploit distinct du système Connect déprécié du projet plus tôt ce mois-ci.

L’attaquant aurait exploité le mécanisme « Escape Hatch »

Le chercheur en sécurité Cos a partagé une analyse indiquant que l’attaquant a abusé du mécanisme « Escape Hatch » d’Aztec au sein du contrat RollupProcessor. La fonctionnalité a été conçue comme une mesure de sécurité permettant aux utilisateurs de soumettre des preuves de rollup pendant des fenêtres spécifiques si les opérations normales étaient interrompues. Les chercheurs affirment que l’attaquant a élaboré des preuves contenant des valeurs de sortie publiques manipulées, acceptées par le vérificateur. Le contrat aurait libéré des actifs directement depuis ses réserves en garde. Les retraits suspects comprenaient 1 158 ETH, 150 000 DAI et 0,46963295 renBTC. La société de sécurité blockchain PeckShield a ensuite estimé les pertes totales à environ 2,16 millions de dollars. Les actifs volés ont ensuite été transférés vers des portefeuilles contrôlés par l’exploiteur.

L’incident met en lumière les défis persistants de sécurité des ponts

L’incident souligne des difficultés continues pour les ponts blockchain et l’infrastructure de rollup. Les ponts restent l’une des cibles les plus fréquentes des attaques dans la finance décentralisée. Des analystes de sécurité ont noté que le dommage financier est relativement limité par rapport à certains exploits historiques de ponts. Toutefois, des vulnérabilités répétées peuvent avoir un impact plus large sur la confiance des utilisateurs. Des observateurs de l’industrie avertissent que la confiance devient souvent la plus grosse victime après des attaques de ponts, surtout lorsque des projets connaissent plusieurs incidents de sécurité sur une courte période.

La Fondation Aztec confirme l’exploitation d’un produit déprécié

La Fondation Aztec et Aztec Labs ont reconnu l’incident le 18 juin, indiquant qu’ils enquêtent sur une potentielle exploitation affectant un produit de paiements Aztec déprécié lancé en 2021. D’après leurs déclarations, le système concerné est un rollup Stage 2 immuable, mis au rebut en 2022. Il a été déprécié depuis quatre ans et n’est pas connecté au réseau Aztec actuel ni au token AZTEC ERC-20. Les équipes ont déclaré qu’elles fourniront de nouvelles mises à jour à mesure que l’enquête progresse. L’attaquant présumé aurait été financé via un portefeuille lié à la plateforme d’échange crypto HitBTC avant d’exécuter l’exploit, d’après des enquêteurs on-chain.

FAQ

Que s’est-il passé avec le Private Rollup Bridge d’Aztec ?

Le Private Rollup Bridge d’Aztec a été exploité pour environ 2,15 millions de dollars d’actifs, incluant 1 158 ETH, 150 000 DAI et 0,47 renBTC. L’analyse initiale suggère que l’attaquant a abusé du mécanisme « Escape Hatch » du pont en soumettant des preuves de rollup manipulées acceptées par le vérificateur, entraînant la libération des réserves en garde par le contrat.

Comment Aztec a-t-il répondu à l’exploitation ?

La Fondation Aztec a reconnu l’incident le 18 juin et a indiqué qu’elle enquête sur une potentielle exploitation affectant un produit de paiements déprécié lancé en 2021. Le système concerné a été mis au rebut en 2022, a été déprécié depuis quatre ans et n’est pas connecté au réseau Aztec actuel ni au token AZTEC ERC-20. Les équipes ont indiqué qu’elles fourniront de nouvelles mises à jour à mesure que l’enquête continue.