Una pequeña falla de validación, una fuga de 2.19 millones de dólares – ¿Qué salió mal en Aztec Network?

El contrato Router de Aztec Network está en las noticias después de ser el objeto de una transacción sospechosa que se descubrió en la blockchain de Ethereum [ETH]. Esto llevó a la pérdida de activos valorados en aproximadamente 2,19 millones de dólares.

De hecho, la dirección de la billetera “0x0f18….edd17” utilizó dinero del contrato Router del protocolo para realizar la transacción.

La ataque fue sospechosoSegún CertiK, el ataque fue “sospechoso” porque el atacante podría haber aprovechado una debilidad en el contrato inteligente, obtenido acceso no autorizado a los fondos del protocolo, o alterado la lógica del contrato para desviar activos.

Una posible falla en la validación del contrato inteligente

Sin embargo, algunas pistas sugerían que el manejo de datos de prueba del protocolo tenía fallas en el proceso de validación del contrato inteligente. El problema específicamente parecía estar en la función computeRootHashes(), que supervisaba la confirmación de la legitimidad de los _proofData suministrados, pero solo examinaba la primera parte de estos.

No obstante, la porción central del mismo _proofData contenía los datos que posteriormente utilizaba processDepositsAndWithdrawals() para realizar transferencias de tokens.

Por lo tanto, un atacante podría haber creado una prueba maliciosa en la que la sección media no verificada contenía instrucciones manipuladas de depósito o retiro, mientras que la porción verificada permanecía válida y pasaba las verificaciones de seguridad del protocolo.

Por su parte, el contrato terminó realizando transferencias de tokens no autorizadas como resultado de que esas instrucciones no fueran autenticadas correctamente antes de procesarlas. En pocas palabras, parecía haber una discrepancia entre lo que se verificó y lo que realmente se ejecutó.

Más incidentes similares

El momento aquí es interesante porque Raydium también encontró un error de codificación en su antiguo programa AMM V3 que provocó el robo de criptomonedas por valor de 1,34 millones de dólares de cinco pools.

Mientras tanto, otro ataque de toma de control de gobernanza vio a un explotador robar aproximadamente 1,5 millones de dólares en Ethereum de un pool de liquidez de Balancer.

Recientemente también se detectó un nuevo exploit dirigido al Ethereum’s Alephium TokenBridge. En este exploit, se drenaron 815,000 dólares en siete minutos usando tres de las cuatro claves guardianes comprometidas que firmaron VAAs falsificados (Aprobaciones de Acción Verificadas).

De manera similar, según una investigación independiente de Quantstamp, Humanity Protocol vinculó un ataque de phishing dirigido contra uno de sus directores con la adquisición de credenciales administrativas, actualizaciones de contratos, transferencias de tokens de Ethereum y creación de nuevos tokens H en la cadena BNB.

En general, el Valor Total Hackeado (USD) ha alcanzado los 81,73 millones de dólares en 30 días, según datos de DeFiLlama. Con 634,85 millones de dólares perdidos solo en 2026, abril ha sido el mes con mayor valor drenado hasta ahora.

Fuente: DeFiLlama

Resumen final

• La falla parece haber sido causada por la verificación incompleta de _proofData.
• El episodio es el más reciente en una serie de lapsos de seguridad en DeFi.