Un contrato "abandonado" de Aztec Connect sufre un vaciado de 2,1 millones de dólares

Aztec Connect, una plataforma DeFi ya descatalogada vinculada a Aztec Network, habría sufrido el robo de aproximadamente 2,1 millones de dólares en criptoactivos tras la explotación de una vulnerabilidad en la lógica de verificación de transacciones de su contrato inteligente. El episodio vuelve a poner el foco en un riesgo recurrente en DeFi: los contratos "retirados" siguen siendo objetivos viables mucho tiempo después. Aztec Labs comunicó en X que investiga un posible exploit que afecta a Aztec Connect y que se transfirieron alrededor de 2,1 millones de dólares desde el smart contract. La compañía recalcó que el incidente no impactó a los usuarios ni a los activos de la Aztec Network actualmente operativa. Puntos clave - El atacante habría extraído unos 2,1 millones de dólares abusando de la ruta de verificación y liquidación del protocolo. - Según BlockSec, las transacciones verificadas no quedaban efectivamente vinculadas al conjunto de transacciones que imponía la prueba ZK, lo que abría una vía para retirar saldos sin respaldo. - El exploit se habría ejecutado siete veces sobre siete activos, acumulando, entre otros, 909 ETH y 270.000 DAI. - Aztec Connect se descatalogó en marzo de 2023: se detuvieron los depósitos y el equipo pasó a centrarse en Aztec Network. - Aztec Labs afirmó que no dispone de claves de administrador y no puede pausar ni actualizar Aztec Connect; un desarrollador señaló que los contratos se volvieron completamente inmutables. Qué dice Aztec Labs En su actualización pública, Aztec Labs describió un aparente exploit en el contrato inteligente de Aztec Connect y confirmó que aproximadamente 2,1 millones de dólares salieron del contrato. La firma insistió en que el suceso no afecta a los saldos de usuario ni a los activos de la Aztec Network en producción. Aztec Connect está ligado al ecosistema de rollups ZK orientado a privacidad sobre Ethereum. De acuerdo con el contexto recogido en la información, se trataba de una versión anterior lanzada en 2022 como puente DeFi. Cómo la debilidad de verificación permitió las retiradas La firma de seguridad BlockSec explicó que el atacante se aprovechó de un desajuste entre la forma en que Aztec Connect verificaba transacciones y cómo se liquidaban en Ethereum. El problema estaría en la relación entre las transacciones "aprobadas" y el conjunto de transacciones que la prueba ZK hacía cumplir. En la práctica, las transacciones que pasaban por la ruta de verificación de Aztec Connect no quedaban correctamente ancladas al conjunto de transacciones impuesto por la prueba ZK. Esa brecha permitía que la lógica del contrato en Ethereum interpretara la lista de transacciones de manera distinta, posibilitando que se acreditara valor sin que la validación correspondiente se reflejara en Ethereum. El resultado serían saldos sin respaldo que, posteriormente, podían retirarse. BlockSec añadió que el atacante repitió la técnica varias veces, en lugar de ejecutar un único vaciado, con siete iteraciones repartidas entre siete activos. Activos presuntamente sustraídos y contexto del mercado El botín incluiría 909 Ether (ETH), 270.000 Dai (DAI), 167 wrapped staked ETH y otras criptomonedas. En la cobertura original también se citó una publicación de CertiK con ejemplos de algunos de los activos afectados. El caso de Aztec Connect llega en un periodo de alta actividad de ataques en DeFi. Según datos de DeFiLlama mencionados en la información, este mes ya se habrían robado 44 millones de dólares en cripto en al menos 12 exploits. A comienzos de junio, el mayor incidente señalado estaría relacionado con el compromiso de una clave privada en Humanity Protocol, con unas pérdidas reportadas de 30 millones de dólares el 8 de junio. También se menciona un incidente en Syscoin Bridge el día anterior, donde se habrían sustraído 8 millones de dólares mediante un exploit basado en una prueba falsa. Por qué estar "descatalogado" no frenó el ataque Aztec Connect se dio de baja oficialmente en marzo de 2023, se bloquearon los depósitos y el equipo reorientó el desarrollo hacia la nueva generación de Aztec Network. La retirada, aun así, no elimina el riesgo si el código del contrato permanece desplegado en Ethereum. Aztec Labs indicó que no tiene claves de administrador, por lo que no puede pausar ni actualizar el sistema. Esa falta de capacidad de intervención deja sin respuesta posibles fallos lógicos, sean conocidos o emergentes. Un desarrollador identificado como "Param" sostuvo además que los contratos inteligentes de Aztec Connect se volvieron completamente inmutables, sin opción de actualización o pausa. La combinación de deprecación y ausencia de autoridad de upgrade ayuda a explicar cómo puede aparecer un exploit tiempo después de retirarse el producto. Qué vigilar a partir de ahora Los investigadores previsiblemente analizarán si los fondos extraídos se movieron de inmediato por vías de liquidez o si pueden rastrearse en los flujos on-chain. En paralelo, la respuesta del ecosistema Aztec se centrará en acotar el alcance y reforzar los límites entre la lógica de verificación y la de liquidación. Para los usuarios, la conclusión práctica es clara: un contrato descatalogado sigue siendo un riesgo; el código inmutable puede seguir siendo explotable incluso cuando los depósitos ya están cerrados. Este artículo se publicó originalmente como "Aztec Connect Abandoned Smart Contract Drained $2.1M" en Crypto Breaking News.