Stillgelegter Aztec-Connect-Smart-Contract: Angreifer erbeutet 2,1 Mio. US-Dollar

Aztec Connect, eine inzwischen eingestellte DeFi-Lösung im Umfeld des Aztec Network, ist Berichten zufolge um rund 2,1 Mio. US-Dollar in Kryptowerten erleichtert worden. Auslöser war eine Schwachstelle in der Logik zur Transaktionsprüfung, die es einem Angreifer ermöglichte, Abhebungen aus dem Smart Contract vorzunehmen. Der Vorfall unterstreicht, dass "aufgegebene" Verträge auch lange nach ihrer offiziellen Stilllegung ein attraktives Angriffsziel bleiben. Aztec Labs teilte auf X mit, man untersuche einen möglichen Exploit bei Aztec Connect; aus dem Smart Contract seien demnach etwa 2,1 Mio. US-Dollar abgeflossen. Gleichzeitig betonte das Unternehmen, dass Nutzer und Vermögenswerte im aktuellen, produktiven Aztec Network nicht betroffen seien. Kernpunkte des Vorfalls - Rund 2,1 Mio. US-Dollar wurden aus Aztec Connect entwendet, indem der Angreifer den Verifikations- und Settlement-Pfad ausnutzte. - Laut BlockSec waren verifizierte Transaktionen nicht wirksam an das durch den ZK-Proof erzwungene Transaktions-Set gebunden. Dadurch konnten ungedeckte Guthaben entstehen, die anschließend abgehoben wurden. - Der Angreifer soll die Methode siebenmal über sieben Assets eingesetzt und dabei unter anderem 909 ETH sowie 270.000 DAI erlangt haben. - Aztec Connect wurde im März 2023 abgekündigt; Einzahlungen wurden gestoppt, das Team verlagerte den Fokus auf das Aztec Network. - Aztec Labs erklärte, keine Admin-Keys zu besitzen und Aztec Connect weder pausieren noch upgraden zu können. Ein Entwickler mit dem Namen "Param" sagte, die Verträge seien vollständig unveränderlich (immutable) geworden. Was Aztec Labs bislang bestätigt In einem öffentlichen Update sprach Aztec Labs von einem offensichtlichen Exploit des Aztec-Connect-Smart-Contracts und nannte Abflüsse in Höhe von rund 2,1 Mio. US-Dollar. Das Unternehmen wies darauf hin, dass dies keinen Einfluss auf Assets oder Nutzer-Salden im live betriebenen Aztec Network habe. Aztec Connect gehört zum privacy-orientierten ZK-Rollup-Ökosystem auf Ethereum. Aztec Connect war laut Kontext der Berichterstattung eine frühere Version der Plattform, die 2022 als DeFi-Bridge gestartet wurde. Wie die Verifikationsschwäche Abhebungen ermöglichte Die Sicherheitsfirma BlockSec führte den Angriff auf eine Inkonsistenz zwischen der Transaktionsprüfung in Aztec Connect und dem Settlement auf Ethereum zurück. Im Zentrum steht die Kopplung zwischen verifizierten Transaktionen und dem Transaktions-Set, das durch den ZK-Proof erzwungen wird. Nach Einschätzung von BlockSec waren über den Verifikationspfad freigegebene Transaktionen nicht effektiv an das vom ZK-Proof abgesicherte Transaktions-Set gebunden. Diese Lücke habe dazu geführt, dass Verifikations- und Settlement-Logik die Transaktionsliste unterschiedlich interpretierten. So konnte der Angreifer Transaktionen so platzieren, dass der Contract Werte gutschreibt, ohne dass die entsprechende Validierung auf Ethereum stattfand. Das ermöglichte die Erzeugung ungedeckter Salden, die anschließend abgezogen wurden. BlockSec zufolge setzte der Angreifer die Technik nicht nur einmal ein, sondern wiederholte sie siebenmal über sieben verschiedene Assets. Welche Assets betroffen gewesen sein sollen – und der größere DeFi-Kontext Zu den entwendeten Werten zählen laut Bericht 909 Ether (ETH), 270.000 Dai (DAI), 167 Wrapped Staked ETH sowie weitere Kryptowährungen. In der ursprünglichen Berichterstattung wurde zudem ein separater Beitrag von CertiK zitiert, der Beispiele der abgezogenen Assets gezeigt haben soll. Der Vorfall fällt in eine Phase zahlreicher DeFi-Exploits. Unter Verweis auf DeFiLlama-Daten heißt es, in diesem Monat seien bislang 44 Mio. US-Dollar aus mindestens 12 separaten Angriffen entwendet worden. Anfang Juni wurde als größter Diebstahl ein Private-Key-Kompromiss beim Humanity Protocol genannt, bei dem am 8. Juni angeblich 30 Mio. US-Dollar verloren gingen. Zudem verweist die Berichterstattung auf einen Syscoin-Bridge-Vorfall am Vortag, bei dem angeblich 8 Mio. US-Dollar über einen Fake-Proof-Exploit abgezogen wurden. Warum "abgekündigt" nicht vor Angriffen schützt Aztec Connect wurde im März 2023 offiziell stillgelegt, Einzahlungen wurden gestoppt und Entwicklungsressourcen auf das nächste Aztec Network umgeleitet. Die Abkündigung beseitigte das Risiko der zugrunde liegenden Smart-Contract-Logik jedoch nicht. Aztec Labs erklärte, keine Admin-Keys zu halten und das System daher nicht pausieren oder upgraden zu können. Bleibt der Code auf Ethereum aktiv, können bekannte oder neu entstehende Logikfehler unadressiert bleiben. Der Entwickler "Param" sagte zudem, die Smart Contracts von Aztec Connect seien vollständig immutable geworden, also weder upgrade- noch pausierbar. Diese Kombination aus Stilllegung ohne Eingriffsrechte erklärt, warum ein Exploit auch lange nach dem Ende eines Produkts auftreten kann. Worauf es als Nächstes ankommt Ermittler dürften prüfen, ob die abgezogenen Mittel unmittelbar über Liquiditätsplätze weitergeleitet wurden oder onchain weiterhin nachverfolgbar sind. Im Aztec-Ökosystem dürfte der Fokus darauf liegen, den tatsächlichen Umfang zu bestätigen und die Trennung zwischen Verifikations- und Settlement-Logik robuster zu gestalten. Für Nutzer bleibt als praktische Lehre: Auch abgekündigte Contracts bergen Risiken, weil unveränderlicher Code noch lange nach dem Einzahlungsstopp ausnutzbar sein kann.