Une petite faille de validation, une fuite de 2,19 millions de dollars – Qu'est-ce qui a mal tourné chez Aztec Network ?

Le contrat Router du réseau Aztec fait la une après avoir été à l’origine d’une transaction suspecte découverte sur la blockchain Ethereum [ETH]. Cela a entraîné la perte d’actifs évalués à environ 2,19 millions de dollars.

En fait, l’adresse du portefeuille « 0x0f18….edd17 » a utilisé l’argent du contrat Router du protocole pour effectuer la transaction.

L’attaque était suspecteSelon CertiK, l’attaque était « suspecte » parce que l’attaquant aurait pu profiter d’une faiblesse dans le contrat intelligent, obtenir un accès non autorisé aux fonds du protocole, ou modifier la logique du contrat pour siphonner des actifs.

Une possible faille de validation du contrat intelligent

Cependant, certains indices suggéraient que la gestion des données de preuve par le protocole était défectueuse dans le processus de validation du contrat intelligent. Le problème semblait spécifiquement concerner la fonction computeRootHashes(), qui supervisait la vérification de la légitimité des _proofData fournis, mais n’examinait que la première partie de celui-ci.

Néanmoins, la partie centrale du même chargement utile _proofData contenait les données que processDepositsAndWithdrawals() utilisait ensuite pour effectuer des transferts de jetons.

Par conséquent, un attaquant aurait pu créer une preuve malveillante dans laquelle la section médiane non vérifiée contenait des instructions de dépôt ou de retrait manipulées, tandis que la partie vérifiée restait valide et passait les contrôles de sécurité du protocole.

De son côté, le contrat a fini par effectuer des transferts de jetons non autorisés en raison du fait que ces instructions n’avaient pas été correctement authentifiées avant traitement. En résumé, il semblait y avoir une divergence entre ce qui était vérifié et ce qui était réellement exécuté.

Plus d’incidents similaires

Le timing est intéressant car Raydium a également découvert une erreur de codage dans son ancien programme AMM V3, qui a causé le vol de cryptomonnaies d’une valeur de 1,34 million de dollars dans cinq pools.

Par ailleurs, une autre attaque de prise de contrôle de gouvernance a permis à un exploiteur de voler environ 1,5 million de dollars en Ethereum d’un pool de liquidités Balancer.

Une nouvelle faille exploitant le pont de jetons Alephium d’Ethereum a également été récemment découverte. Dans cette attaque, 815 000 dollars ont été drainés en sept minutes en utilisant trois des quatre clés de gardien compromises qui ont signé de faux VAAs (Approbations d’Action Vérifiées).

De même, selon une enquête indépendante de Quantstamp, Humanity Protocol a lié une attaque de phishing ciblée contre l’un de ses directeurs à l’acquisition par l’attaquant de ses identifiants administratifs, à des mises à jour de contrats, à des transferts de jetons Ethereum, et à la création de nouveaux jetons H sur la chaîne BNB.

Dans l’ensemble, la valeur totale piratée (en USD) a maintenant atteint 81,73 millions de dollars en 30 jours, selon les données de DeFiLlama. Avec 634,85 millions de dollars perdus en 2026 seulement, avril a connu la valeur drainée la plus élevée à ce jour.

Source : DeFiLlama

Résumé final

• La faille semble avoir été causée par une vérification incomplète de _proofData.
• L’épisode s’inscrit dans une série de défaillances de sécurité dans le domaine de la DeFi.