cryptopolitan.com
Aztectrachat durch einen Angriff auf eine Sicherheitslücke in der vor drei Jahren abgeschalteten Privacy Bridge einen Schaden von 2,1 Millionen US-Dollar erlitten. Der Angriff birgt zudem eine Besonderheit: Laut dem Team von Aztec Labs ist die Sicherheitslücke nicht zu beheben.
Laut dem Blockchain-Sicherheitsunternehmen BlockSec, das die verdächtige Transaktion über sein Phalcon-Überwachungssystem meldete, umfassten die gestohlenen Gelder etwa 909 ETH, 270.000 DAI und 167 wstETH.
Bevor Aztec Labs Aztec Connect im März 2023 einstellte, handelte es sich um eine ZK-Rollup-Bridge, die es Nutzern ermöglichte, mit DeFi Protokollen wie Aave und Lido zu interagieren und gleichzeitig Transaktionsdetails durch Zero-Knowledge-Proofs zu schützen. Aztec Labs stellte den Betrieb des Sequenzers im März 2024 ein.
Der $AZTEC-Token ist zum Zeitpunkt des Berichts von Cryptopolitan um mehr als 5 % gestiegen.
Welche Sicherheitslücke ermöglichte es dem Angreifer, Aztec Connect auszunutzen?
Der Fehler beruhte laut der Analyse von BlockSec Phalcon auf X auf einer Diskrepanz bei der Grenze zwischen dem verifizierten Transaktionssatz und der L1-Abrechnungsverarbeitung.
Laut dem Sicherheitsunternehmen CertiK bestand der Fehler in einer unvollständigen Validierung der eingereichten Nachweisdaten.
Einetracüberprüfte lediglich den Anfang des Beweisvorgangs, während an anderer Stelle eingebettete Token-Transferanweisungen nicht verifiziert wurden. Dies ermöglichte es dem Angreifer, Auszahlungen zu manipulieren.
Wie reagiert Aztec Labs auf die Sicherheitslücke?
Aztec Labs bestätigte, den Vorfall zu untersuchen, erklärte aber, keine Möglichkeit zum Eingreifen zu haben. „Aztec Connect wurde vor drei Jahren eingestellt. Aztec Labs besitzt keine Administratorrechte und hat keine Kontrolle über das System; es kann von uns weder pausiert noch aktualisiert werden“, schrieb das Team aufX.
In einer separaten Erklärung veröffentlichte die Aztec Foundation auf X, dass der Vorfalldent keinerlei Zusammenhang mit Smart Contracts steht, dietracdem $AZTEC ERC-20 Token oder dem aktuellen Aztec-Netzwerk, das sich auf private Smart Contracts konzentriert, verbundentrac.
„Aztec Connect wurde vor 3 Jahren eingestellt und Aztec Labs hat keinerlei Kontrolle mehr über das System“, schrieb die Aztec Foundation.
Als Aztec Labs die Brücke stilllegte, verzichtete das Unternehmen aufgrund des datenschutzorientierten Charakters des Protokolls auf die Administrator-Schlüssel dertrac. Der Nachteil besteht jedoch darin, dass nach dem Verlust der Schlüssel niemand mehr eine Fehlerbehebung bereitstellen kann, sobald eine Sicherheitslücke auftritt.
Welche Kosten entstehen durch die Ausnutzung der Sicherheitslücke?
Laut Daten von DefiLlama enthielten die von Aztec Connecttracvor dem Angriff einen Gesamtwert von etwa 2,15 Millionen US-Dollar, die gesperrt waren, und auf diese Gelder konnte der Angreifer zugreifen.
Die Gelder wurden nicht überwacht, und das Team unternahm nichts dagegen, da alle darin verbliebenen Vermögenswerte vollständig von der Integrität des ursprünglichen Codes abhängen.
Die Sicherheitslücke in Aztec Connect verdeutlicht auch das wiederkehrende Risiko für Nutzer, die ihre Gelder nach der Migration eines Projekts intracbelassen.
Die Erfolge im Juni nehmen weiter zu
Es ist bereits Mitte Juni, und angesichts der zunehmenden Sicherheitslücken scheinen Kryptoprotokolle keine Ruhe zu finden. Auch der Mai war von diversen Angriffen geprägt, und kürzlich eingestellte Plattformen verzeichnen vermehrte Attacken.
Cryptopolitan berichtete bereits über Angriffe auf Gnosis Pay und TesseraDAO in den ersten Junitagen. Allein TesseraDAO verlor 2,5 Millionen Dollar bei einem Mint-and-Dump-Angriff auf BNB Chain.
Laut DeFiLlamabeliefen sich die kumulierten Verluste durch Sicherheitslücken im Juni bis Mitte des Monats bereits auf rund 43,93 Millionen US-Dollar.