Aztec Network perd plus de 4 millions de dollars en trois jours à cause de deux piratages successifs - CoinJournal

• Les contrats du réseau Aztec Legacy ont été vidés de plus de $4M en trois jours.
• Les attaques ont exploité des failles dans la logique de vérification des preuves à zéro connaissance.
• Le réseau Aztec principal et le jeton AZTEC n'ont pas été affectés par ces exploits.

L'infrastructure legacy d'Aztec a été la cible d'une vague coordonnée d'attaques, entraînant des pertes dépassant 4 millions de dollars en seulement trois jours.

Les exploits ont visé des contrats intelligents obsolètes qui avaient déjà été désactivés plusieurs années auparavant mais qui détenaient encore des liquidités sur la chaîne.

Bien qu'ils soient qualifiés d'inactifs et d'immutables, ces contrats sont restés accessibles aux attaquants qui ont exploité des faiblesses dans la vérification des preuves à zéro connaissance.

Alors que ces attaques n'ont pas affecté le réseau Aztec actuel ni son jeton AZTEC, elles ont mis en lumière des risques de longue date liés à des systèmes DeFi retirés qui continuent d'exister sur Ethereum sans maintenance active ni voies de mise à niveau.

Première brèche : Aztec Connect vidé de 2,1 millions de dollars

Le premier incident s'est produit le 14 juin, lorsque des attaquants ont exploité le protocole Aztec Connect, un pont axé sur la confidentialité déprécié qui avait été officiellement arrêté après sa phase de retrait.

Le contrat était déjà considéré comme inactif, mais il contenait encore des fonds résiduels.

L'attaquant a réussi à vider environ 2,1 millions de dollars d'actifs numériques, dont environ 909 ETH, 270 000 DAI, et 167 wstETH, ainsi que d'autres petites holdings.

L'exploit était lié à des failles dans la façon dont la vérification des preuves de rollup était gérée, permettant l'acceptation de preuves invalides ou manipulées comme légitimes.

Ce qui a rendu la situation encore plus critique, c'est la nature même du contrat.

Aztec Connect était décrit comme immuable, ce qui signifie qu'il ne pouvait pas être mis en pause ou corrigé une fois déployé.

Même si les utilisateurs avaient été encouragés à retirer leurs fonds avant la fermeture, le solde restant est devenu une cible facile pour l'exploitation plusieurs années plus tard.

Les équipes de sécurité ayant examiné l'incident ont souligné une rupture dans la relation entre la validation des preuves à zéro connaissance et la logique de règlement sur la chaîne.

En termes simples, le système acceptait des preuves qui ne correspondaient pas correctement à l'état sous-jacent de la transaction, permettant à l'attaquant de déclencher des retraits non autorisés.

Deuxième attaque : Exploitation du Private Rollup Bridge pour 2,15 millions de dollars

Seulement trois jours plus tard, une seconde faille a touché un autre système legacy connu sous le nom de Private Rollup Bridge.

Ce contrat faisait également partie de l'infrastructure plus ancienne d'Aztec et avait été déprécié après la transition vers des conceptions de rollup plus récentes.

Dans ce cas, les attaquants ont vidé environ 1 158 ETH, évalués à près de 2,15 millions de dollars au moment de l'incident.

La méthode utilisée était différente dans son exécution mais similaire dans sa cause racine technique.

Au lieu de manipuler directement les retraits via une simple discordance de preuve, l'attaquant a exploité un mécanisme vulnérable de « sortie de secours » intégré dans la conception du pont.

En soumettant une preuve à zéro connaissance spécialement conçue, l'attaquant a pu déclencher la logique de sortie du contrat.

Le système a invalidé la preuve de manière incorrecte et a libéré des fonds sans vérification appropriée des transitions d'état sous-jacentes.

Cela a permis à l'attaquant d'extraire des liquidités en une seule séquence coordonnée.

Comme pour la première faille, cette brèche n'impliquait pas la compromission de clés privées ni de vulnérabilités de réentrance.

Elle mettait plutôt en évidence des problèmes plus profonds dans la structuration de la validation des preuves dans les systèmes de rollup legacy, en particulier lorsque les contrats restent actifs sur la chaîne après leur mise hors service officielle.

Réaction d'Aztec et des sociétés de sécurité

Suite aux deux incidents, Aztec Labs et la Fondation Aztec ont confirmé que les systèmes affectés étaient des produits dépréciés sans lien avec le réseau Aztec actuel ou l'écosystème du jeton AZTEC.

La Fondation Aztec a été informée d'une exploitation potentielle ciblant un produit déprécié survenue le 17 juin 2026. Il n'existe aucun lien entre ce produit et les contrats intelligents liés au réseau actuel ou au jeton AZTEC ERC20.

Le produit a été déprécié il y a 4 ans… https://t.co/kANaIuw8HF

— Fondation Aztec (@aztecFND) 18 juin 2026

Ils ont souligné qu'aucun des contrats ne pouvait être mis à jour, mis en pause ou contrôlé, car tous deux étaient conçus pour être immuables lors du déploiement.

La société de sécurité CertiK Alert a également signalé l'exploitation du Private Rollup Bridge, identifiant l'adresse de l'attaquant et confirmant le mouvement de fonds lié à une transaction Ethereum spécifique.

Leur analyse concordait avec d'autres évaluations, suggérant que la vulnérabilité provenait de failles dans la vérification des preuves à zéro connaissance plutôt que de bugs classiques dans les contrats intelligents.

Les représentants d'Aztec ont également précisé que les incidents du Private Rollup Bridge et d'Aztec Connect étaient des événements distincts, même s'ils se sont produits dans un court laps de temps et partageaient des faiblesses techniques similaires.