Ponte do Aztec Private Rollup é explorada para roubo de US$ 2,15 milhões em ativos

O projeto Ethereum focado em privacidade da Aztec, o Private Rollup Bridge, foi explorado para aproximadamente US$ 2,15 milhões em ativos roubados, incluindo 1.158 ETH, 150.000 DAI e 0,47 renBTC, segundo dados de transações on-chain. A análise inicial do pesquisador de segurança Cos sugere que o atacante abusou do mecanismo “Escape Hatch” da ponte ao enviar provas de rollup manipuladas que o verificador aceitou, fazendo o contrato liberar reservas em custódia. Este é o segundo grande incidente de segurança envolvendo a infraestrutura legada da Aztec em poucos dias, após um exploit separado do sistema Connect descontinuado do projeto no início deste mês.

Supostamente, o atacante explorou o mecanismo Escape Hatch

O pesquisador de segurança Cos compartilhou análises indicando que o atacante abusou do mecanismo “Escape Hatch” da Aztec dentro do contrato RollupProcessor. O recurso foi projetado como uma medida de segurança para permitir que usuários enviassem provas de rollup durante janelas específicas se a operação normal fosse interrompida. Pesquisadores afirmam que o atacante criou provas contendo valores de saída pública manipulados, que foram aceitos pelo verificador. O contrato teria liberado ativos diretamente de suas reservas em custódia. Os saques suspeitos incluíram 1.158 ETH, 150.000 DAI e 0,46963295 renBTC. A empresa de segurança de blockchain PeckShield estimou posteriormente perdas totais em aproximadamente US$ 2,16 milhões. Os ativos roubados foram, em seguida, transferidos para carteiras controladas pelo explorador.

O incidente destaca desafios contínuos de segurança em pontes

O incidente evidencia desafios contínuos enfrentados por pontes de blockchain e infraestrutura de rollup. As pontes seguem entre os vetores de ataque mais frequentemente visados em finanças descentralizadas. Analistas de segurança observaram que o dano financeiro é relativamente modesto em comparação com alguns exploits históricos de pontes. No entanto, vulnerabilidades repetidas podem ter um impacto mais amplo na confiança dos usuários. Observadores da indústria alertam que a confiança muitas vezes se torna o maior prejuízo após ataques a pontes, especialmente quando projetos enfrentam múltiplos incidentes de segurança em um curto período.

Aztec Foundation confirma o exploit de um produto descontinuado

A Aztec Foundation e a Aztec Labs reconheceram o incidente em 18 de junho, afirmando que investigam um possível exploit que afeta um produto de pagamentos da Aztec descontinuado, lançado em 2021. De acordo com suas declarações, o sistema afetado é um rollup imutável Stage 2 que foi encerrado em 2022. Ele está descontinuado há quatro anos e não está conectado à rede Aztec atual nem ao token AZTEC ERC-20. As equipes disseram que fornecerão novas atualizações à medida que a investigação continuar. O suposto atacante teria sido financiado por uma carteira vinculada à exchange cripto HitBTC antes de executar o exploit, segundo investigadores on-chain.

FAQ

O que aconteceu com a Private Rollup Bridge da Aztec?

A Private Rollup Bridge da Aztec foi explorada para aproximadamente US$ 2,15 milhões em ativos, incluindo 1.158 ETH, 150.000 DAI e 0,47 renBTC. A análise inicial sugere que o atacante abusou do mecanismo “Escape Hatch” da ponte ao enviar provas de rollup manipuladas que foram aceitas pelo verificador, fazendo o contrato liberar reservas em custódia.

Como a Aztec respondeu ao exploit?

A Aztec Foundation reconheceu o incidente em 18 de junho e afirmou que está investigando um possível exploit que afeta um produto de pagamentos descontinuado lançado em 2021. O sistema afetado foi encerrado em 2022, está descontinuado há quatro anos e não está conectado à rede Aztec atual nem ao token AZTEC ERC-20. As equipes disseram que fornecerão novas atualizações à medida que a investigação continuar.