La moneda de privacidad Aztec, contrato inteligente, fue hackeada y robada por valor de 2.19 millones de dólares! SlowMist revela la vulnerabilidad de "elusión de liquidación"

Prueba de conocimiento cero (ZK) y redes de privacidad vuelven a sufrir un desastre de seguridad cibernética. Según informes del conocido equipo de seguridad blockchain SlowMist, un contrato de Aztec Connect RollupProcessor, ya en desuso, fue hackeado recientemente. Los atacantes lograron explotar una vulnerabilidad de "bypass en el límite de liquidación" para crear una discrepancia de estado, y de ese modo robar una cantidad de activos que alcanza los 2.19 millones de dólares.

（Contexto previo: hackers desbloquean 1000 ETH bloqueados desde una ICO hace 9 años, y recuperan todo mediante un contrato inteligente de descongelación）
（Información adicional: Anthropic anuncia que en unas semanas lanzará completamente su modelo avanzado Claude Mythos. ¡IA de nivel hacker a punto de ser liberada!）

Una de las mayores agencias de seguridad blockchain del mundo, SlowMist, publicó hoy (15) en Taipei su informe técnico de análisis exhaustivo. El informe señala que un contrato inteligente de Aztec Connect RollupProcessor, ya en desuso, fue hackeado recientemente. Los hackers, mediante operaciones precisas, lograron saltarse el límite de liquidación del sistema, provocando una grave discrepancia de estado entre la capa uno (L1) y la capa dos (L2), y así robar activos criptográficos valorados en aproximadamente 2.19 millones de dólares.

✍️ Análisis técnico publicado: análisis del robo de activos por 2.19 millones de dólares en Aztec Connect

Un contrato de Aztec Connect RollupProcessor en desuso fue explotado mediante una vulnerabilidad de bypass en el límite de liquidación, permitiendo a los atacantes crear una discrepancia de estado L1/L2 y drenar… pic.twitter.com/w6SkUQXkhm

— SlowMist (@SlowMist_Team) 15 de junio de 2026

Uso indebido de parámetros incorrectos! Creando una "discrepancia de estado de doble ruta" entre L1 y L2

El último informe del equipo de seguridad de SlowMist reconstruye completamente el proceso de esta ataque atomizado. La causa raíz de la vulnerabilidad radica en que los atacantes maliciosamente abusaron de la descoordinación entre los parámetros clave $numRealTxs$ y $decoded_slots$. Mediante esta vulnerabilidad, los hackers pudieron, por un lado, presentar pruebas de depósito falsificadas mediante ZK (prueba de conocimiento cero), y por otro, hacer que estos depósitos se "ocultaran" en la verificación de liquidación en L1, creando así un "modelo de discrepancia de estado de doble ruta (Dual-path state divergence model)", y logrando retirar los fondos del protocolo.

Expertos en seguridad critican: ¡El límite de liquidación debe estar estrictamente alineado con ZK!

Este informe técnico ha sonado la alarma para los equipos de desarrollo de Rollup en todo el mundo. SlowMist enfatiza que este caso resalta un principio fundamental de seguridad en sistemas Rollup: los límites de liquidación (settlement boundaries) deben estar siempre alineados de manera estricta con el compromiso de entrada pública (public inputs) de ZK. De lo contrario, incluso las pruebas matemáticas más robustas serían inútiles.

Este grave incidente de seguridad también ha generado un intenso debate en la comunidad de seguridad blockchain. Algunos expertos en la materia han criticado en redes sociales: "Las pruebas ZK no pueden salvar una arquitectura defectuosa". Se ha revelado que la plataforma de protección criptográfica CoinStats ya había marcado y advertido previamente sobre los riesgos de seguridad en estos límites de liquidación, pero no se prestó atención. Actualmente, las autoridades están rastreando continuamente el movimiento de los fondos en la cadena.