Pont Aztec Private Rollup vidé de 2,15 millions de dollars suite à une nouvelle faille

Le projet de mise à l’échelle d’Ethereum axé sur la confidentialité, Aztec, fait face à de nouvelles préoccupations en matière de sécurité. Après que son pont privé de rollup a été apparemment exploité pour environ 2,15 millions de dollars. Il s’agit du deuxième incident majeur impliquant l’infrastructure Aztec legacy en quelques jours.

Selon les données de transaction en chaîne, l’attaquant a drainé environ 1 158 ETH, 150 000 DAI et 0,47 renBTC du contrat du pont privé de rollup d’Aztec. Les actifs volés ont ensuite été transférés vers des portefeuilles contrôlés par l’exploitant, suscitant de nouvelles inquiétudes dans l’industrie crypto.

Le dernier incident est rapidement devenu l’une des histoires les plus discutées dans les actualités sur les hacks crypto. Particulièrement parce qu’il fait suite à une autre exploitation impliquant l’infrastructure Connect obsolète d’Aztec plus tôt ce mois-ci.

Comment l’exploitation aurait fonctionné

L’analyse initiale partagée par le chercheur en sécurité Cos (@evilcos) suggère que l’attaquant a abusé du mécanisme « Escape Hatch » d’Aztec dans le contrat RollupProcessor.

La fonctionnalité était conçue comme une mesure de sécurité. Elle permettait aux utilisateurs de soumettre des preuves de rollup pendant des fenêtres spécifiques si les opérations normales étaient interrompues. Mais les chercheurs affirment que l’attaquant a créé des preuves contenant des valeurs de sortie publiques manipulées, qui ont été acceptées par le vérificateur.

En conséquence, le contrat aurait libéré des actifs directement depuis ses réserves de garde. Les retraits suspects comprenaient :

• 1 158 ETH
• 150 000 DAI
• 0,46963295 renBTC

La société de sécurité blockchain PeckShield a ensuite estimé les pertes totales à environ 2,16 millions de dollars.

Pression croissante sur l’infrastructure cross-chain

L’incident met en lumière les défis persistants auxquels sont confrontés les ponts blockchain et l’infrastructure de rollup. Alors que la finance décentralisée a considérablement mûri ces dernières années, les ponts restent parmi les vecteurs d’attaque les plus ciblés.

Les analystes en sécurité ont noté que les dégâts financiers sont relativement modestes par rapport à certains exploits historiques de ponts. Cependant, des vulnérabilités répétées peuvent avoir un impact plus large sur la confiance des utilisateurs. Les observateurs de l’industrie avertissent que la confiance devient souvent la plus grande victime après des attaques sur des ponts. Surtout lorsque des projets connaissent plusieurs incidents de sécurité en peu de temps.

La communauté attend une réponse officielle

La Fondation Aztec et Aztec Labs ont reconnu l’incident. Ils ont déclaré qu’ils enquêtaient sur une exploitation potentielle affectant un produit de paiement Aztec obsolète lancé en 2021.

Selon leurs déclarations, le système affecté est un rollup de niveau 2 immuable qui a été mis hors service en 2022. Il a été déprécié depuis quatre ans et n’est pas connecté au réseau Aztec actuel ni au jeton AZTEC ERC-20. Les équipes ont indiqué qu’elles fourniront d’autres mises à jour au fur et à mesure que l’enquête progressera.

L’attaquant présumé aurait été financé via un portefeuille lié à la plateforme d’échange crypto HitBTC avant d’exécuter l’exploitation, selon les enquêteurs en chaîne. L’événement intervient alors que l’industrie dans son ensemble continue de privilégier l’amélioration de la sécurité suite à des années de hacks de ponts de haut profil et de vulnérabilités de protocoles.

Au fur et à mesure que de plus en plus de détails émergent, le dernier exploit d’Aztec devrait rester une histoire étroitement suivie dans l’actualité crypto aujourd’hui. Il sert de rappel supplémentaire que même une infrastructure blockchain sophistiquée nécessite des revues de sécurité continues et des audits rigoureux pour protéger les fonds des utilisateurs.