Kelemahan validasi kecil, aliran dana sebesar $2,19 juta – Apa yang salah di Aztec Network?

Kontrak Router dari Aztec Network menjadi berita setelah menjadi subjek transaksi mencurigakan yang ditemukan di blockchain Ethereum [ETH]. Ini menyebabkan kehilangan aset senilai sekitar $2,19 juta.

Faktanya, alamat dompet “0x0f18….edd17” menggunakan uang dari kontrak Router protokol untuk melakukan transaksi tersebut.

Serangan ini mencurigakanMenurut CertiK, serangan tersebut “mencurigakan” karena penyerang mungkin memanfaatkan kelemahan dalam kontrak pintar, mendapatkan akses tidak sah ke dana protokol, atau mengubah logika kontrak untuk menyedot aset.

Kelemahan validasi kontrak pintar yang mungkin terjadi

Namun, beberapa petunjuk menunjukkan bahwa penanganan data bukti protokol dalam proses validasi kontrak pintar memiliki kekurangan. Masalah khususnya tampaknya terletak pada fungsi computeRootHashes(), yang bertanggung jawab untuk memastikan keabsahan _proofData yang diberikan tetapi hanya memeriksa bagian pertama dari data tersebut.

Namun, bagian tengah dari payload _proofData yang sama berisi data yang kemudian digunakan oleh processDepositsAndWithdrawals() untuk melakukan transfer token.

Oleh karena itu, penyerang mungkin telah membuat bukti berbahaya di mana bagian tengah yang tidak diverifikasi berisi instruksi deposit atau penarikan yang dimanipulasi, sementara bagian yang diverifikasi tetap valid dan lolos pemeriksaan keamanan protokol.

Sebagai akibatnya, kontrak tersebut akhirnya melakukan transfer token tanpa otorisasi sebagai hasil dari instruksi tersebut yang tidak diverifikasi dengan benar sebelum diproses. Singkatnya, tampaknya ada ketidaksesuaian antara apa yang diverifikasi dan apa yang sebenarnya dieksekusi.

Lebih banyak insiden serupa

Waktu kejadian ini menarik karena Raydium juga menemukan kesalahan kode dalam program AMM V3 lama mereka yang menyebabkan pencurian kripto senilai $1,34 juta dari lima pool.

Sementara itu, serangan pengambilalihan tata kelola lainnya melihat seorang pelaku mencuri sekitar $1,5 juta dalam Ethereum dari pool likuiditas Balancer.

Eksploitasi baru yang menargetkan Ethereum’s Alephium TokenBridge juga ditemukan baru-baru ini. Dalam eksploitasi ini, $815.000 disedot dalam tujuh menit menggunakan tiga dari empat kunci penjaga yang dikompromikan yang menandatangani VAAs palsu (Persetujuan Tindakan Terverifikasi).

Demikian pula, menurut penyelidikan independen Quantstamp, Humanity Protocol mengaitkan serangan phishing yang ditargetkan terhadap salah satu direkturnya dengan perolehan kredensial administratif oleh penyerang, peningkatan kontrak, transfer token Ethereum, dan pembuatan token H baru di BNB Chain.

Secara keseluruhan, Total Nilai yang Diretas (USD) kini mencapai $81,73 juta dalam 30 hari, menurut data DeFiLlama. Dengan kerugian sebesar $634,85 juta hanya pada tahun 2026, bulan April telah menyaksikan nilai tertinggi yang disedot sejauh ini.

Sumber: DeFiLlama

Ringkasan Akhir

• Kelemahan tampaknya disebabkan oleh verifikasi _proofData yang tidak lengkap.
• Peristiwa ini adalah yang terbaru dalam rangkaian celah keamanan DeFi.