Puente de Aztec Private Rollup drenado con 2.15 millones de dólares en una nueva explotación

El proyecto de escalamiento de Ethereum centrado en la privacidad, Aztec, enfrenta renovadas preocupaciones de seguridad. Después de que su Puente de Rollup Privado fuera supuestamente explotado por aproximadamente 2,15 millones de dólares. Esto marca el segundo incidente importante que involucra la infraestructura heredada de Aztec en pocos días.

Según datos de transacciones en la cadena, el atacante drenó aproximadamente 1,158 ETH, 150,000 DAI y 0,47 renBTC del contrato del Puente de Rollup Privado de Aztec. Los activos robados fueron transferidos posteriormente a billeteras controladas por el explotador, generando nuevas preocupaciones en toda la industria cripto.

El último incidente rápidamente se convirtió en una de las historias más discutidas en las noticias de hackeos en cripto. Particularmente porque sigue a un exploit separado que involucró la infraestructura obsoleta de Connect de Aztec a principios de este mes.

Cómo supuestamente funcionó la explotación

El análisis inicial compartido por el investigador de seguridad Cos (@evilcos) sugiere que el atacante abusó del mecanismo “Escape Hatch” de Aztec dentro del contrato RollupProcessor.

La función fue diseñada como una medida de seguridad. Esto permitía a los usuarios enviar pruebas de rollup durante ventanas específicas si las operaciones normales se interrumpían. Pero los investigadores afirman que el atacante creó pruebas que contenían valores de salida pública manipulados, que fueron aceptados por el verificador.

Como resultado, el contrato supuestamente liberó activos directamente desde sus reservas custodiales. Las retiradas sospechosas incluyeron:

• 1,158 ETH
• 150,000 DAI
• 0.46963295 renBTC

La firma de seguridad blockchain PeckShield estimó posteriormente las pérdidas totales en aproximadamente 2,16 millones de dólares.

Creciente presión sobre la infraestructura de cadenas cruzadas

El incidente destaca los desafíos continuos que enfrentan los puentes blockchain y la infraestructura de rollup. Aunque las finanzas descentralizadas han madurado significativamente en los últimos años, los puentes siguen siendo uno de los vectores de ataque más frecuentemente dirigidos.

Los analistas de seguridad señalaron que el daño financiero es relativamente modesto en comparación con algunos exploits históricos en puentes. Sin embargo, las vulnerabilidades repetidas pueden tener un impacto más amplio en la confianza de los usuarios. Los observadores de la industria advierten que la confianza a menudo se convierte en la mayor víctima tras los ataques a puentes. Especialmente cuando los proyectos experimentan múltiples incidentes de seguridad en un corto período.

La comunidad espera una respuesta oficial

La Fundación Aztec y Aztec Labs han reconocido el incidente. Afirmaron que están investigando un posible exploit que afecta a un producto de pagos de Aztec en desuso, lanzado en 2021.

Según sus declaraciones, el sistema afectado es un rollup de Etapa 2 inmutable que fue descontinuado en 2022. Ha estado en desuso durante cuatro años y no está conectado a la red actual de Aztec ni al token AZTEC ERC-20. Los equipos dijeron que proporcionarán más actualizaciones a medida que continúe la investigación.

El supuesto atacante fue financiado a través de una billetera vinculada a la plataforma de intercambio de criptomonedas HitBTC antes de ejecutar la explotación, según investigadores en la cadena. El evento llega en un momento en que la industria en general continúa priorizando mejoras de seguridad tras años de hackeos de puentes de alto perfil y vulnerabilidades en protocolos.

A medida que surjan más detalles, se espera que la última explotación de Aztec siga siendo una historia de gran interés en las noticias cripto de hoy. Sirve como otro recordatorio de que incluso las infraestructuras blockchain sofisticadas requieren revisiones de seguridad continuas y auditorías rigurosas para proteger los fondos de los usuarios.