Jaringan Aztec kehilangan lebih dari $4 juta dalam tiga hari akibat dua peretasan berturut-turut - CoinJournal

• Kontrak Jaringan Aztec Lama telah dikuras lebih dari $4M dalam tiga hari.
• Serangan memanfaatkan celah dalam logika verifikasi bukti nol-pengetahuan.
• Jaringan Aztec inti dan token AZTEC tidak terpengaruh oleh eksploitasi tersebut.

Infrastruktur lama Aztec telah mengalami gelombang serangan terkoordinasi, yang menyebabkan kerugian lebih dari $4 juta dalam waktu hanya tiga hari.

Eksploitasi menargetkan kontrak pintar usang yang telah dimatikan bertahun-tahun sebelumnya tetapi masih menyimpan likuiditas di on-chain.

Meskipun diklasifikasikan sebagai tidak aktif dan tidak dapat diubah, kontrak tersebut tetap dapat diakses oleh penyerang yang memanfaatkan kelemahan dalam logika verifikasi bukti nol-pengetahuan.

Meskipun serangan tidak mempengaruhi jaringan Aztec saat ini atau token AZTEC-nya, mereka mengungkapkan risiko jangka panjang yang terkait dengan sistem DeFi yang sudah tidak aktif tetapi tetap ada di Ethereum tanpa pemeliharaan aktif atau jalur peningkatan.

Pelanggaraan pertama: Aztec Connect dikuras sebesar $2,1 juta

Insiden pertama terjadi pada 14 Juni, ketika penyerang memanfaatkan protokol Aztec Connect, sebuah jembatan yang berfokus pada privasi dan sudah tidak aktif secara resmi setelah masa pensiunnya.

Kontrak tersebut sudah dianggap tidak aktif, tetapi masih menyimpan dana sisa.

Penyerang berhasil menguras sekitar $2,1 juta aset digital, termasuk sekitar 909 ETH, 270.000 DAI, dan 167 wstETH, bersama dengan kepemilikan kecil lainnya.

Eksploitasi ini terkait dengan kelemahan dalam cara verifikasi bukti rollup dilakukan, yang memungkinkan bukti yang tidak valid atau dimanipulasi diterima sebagai sah.

Yang membuat situasi menjadi lebih kritis adalah sifat kontrak itu sendiri.

Aztec Connect digambarkan sebagai tidak dapat diubah, artinya tidak bisa dijeda atau diperbaiki setelah dideploy.

Meskipun pengguna sebelumnya didorong untuk menarik dana sebelum penutupan, saldo yang tersisa menjadi target yang mudah untuk dieksploitasi bertahun-tahun kemudian.

Tim keamanan yang meninjau insiden ini menunjukkan adanya kerusakan dalam hubungan antara validasi bukti nol-pengetahuan dan logika penyelesaian di on-chain.

Dalam istilah sederhana, sistem menerima bukti yang tidak cocok dengan keadaan transaksi dasar, memungkinkan penyerang untuk memicu penarikan yang tidak sah.

Serangan kedua: Jembatan Rollup Pribadi dieksploitasi sebesar $2,15 juta

Hanya tiga hari kemudian, serangan kedua menimpa sistem lama lain yang dikenal sebagai Jembatan Rollup Pribadi.

Kontrak ini juga bagian dari infrastruktur lama Aztec dan telah dihentikan setelah beralih dari desain rollup sebelumnya.

Dalam kasus ini, penyerang menguras sekitar 1.158 ETH, yang bernilai hampir $2,15 juta saat insiden terjadi.

Metode yang digunakan berbeda dalam pelaksanaan tetapi memiliki akar penyebab teknis yang sama.

Alih-alih memanipulasi penarikan secara langsung melalui ketidaksesuaian bukti dasar, penyerang memanfaatkan mekanisme “keluar darurat” yang rentan yang tertanam dalam desain jembatan.

Dengan mengirimkan bukti nol-pengetahuan yang dirancang khusus, penyerang dapat memicu logika keluar kontrak.

Sistem secara keliru memvalidasi bukti tersebut dan melepaskan dana tanpa verifikasi yang tepat terhadap transisi keadaan dasar.

Ini memungkinkan penyerang untuk mengekstrak likuiditas dalam satu rangkaian yang terkoordinasi.

Seperti eksploitasi sebelumnya, pelanggaran ini tidak melibatkan kompromi kunci pribadi atau kerentanan reentrancy.

Sebaliknya, ini menyoroti masalah yang lebih dalam tentang bagaimana validasi bukti disusun dalam sistem rollup lama, terutama ketika kontrak tetap aktif secara permanen di on-chain setelah secara resmi dihentikan.

Tanggapan dari Aztec dan perusahaan keamanan

Setelah kedua insiden tersebut, Aztec Labs dan Aztec Foundation mengonfirmasi bahwa sistem yang terkena dampak adalah produk yang sudah tidak aktif dan tidak terhubung dengan jaringan Aztec saat ini atau ekosistem token AZTEC.

Aztec Foundation menyadari adanya potensi eksploitasi terhadap produk yang sudah tidak aktif yang terjadi pada 17 Juni 2026. Tidak ada hubungan antara produk ini dan kontrak pintar terkait jaringan saat ini atau token AZTEC ERC20.

Produk ini dihentikan 4 tahun… https://t.co/kANaIuw8HF

— Aztec Foundation (@aztecFND) 18 Juni 2026

Mereka menegaskan bahwa kedua kontrak tidak dapat diperbarui, dijeda, atau dikendalikan, karena keduanya dirancang agar tidak dapat diubah saat deployment.

Perusahaan keamanan CertiK Alert juga menandai eksploitasi Jembatan Rollup Pribadi, mengidentifikasi alamat penyerang dan mengonfirmasi pergerakan dana yang terkait dengan transaksi Ethereum tertentu.

Analisis mereka sejalan dengan ulasan lain, menunjukkan bahwa kerentanan berasal dari kelemahan dalam verifikasi bukti nol-pengetahuan daripada bug kontrak pintar konvensional.

Perwakilan Aztec juga menjelaskan bahwa insiden Jembatan Rollup Pribadi dan Aztec Connect adalah kejadian terpisah, meskipun terjadi dalam waktu singkat dan berbagi kelemahan teknis yang serupa.