Aztec Connect platformunda meydana gelen bir güvenlik ihlali, toplamda 2,1 milyon dolar değerinde varlığın çalınmasına yol açtı. Bu varlıklar arasında 909 ETH, 270 bin DAI ve 167 wstETH bulunuyor. Olayın en dikkat çekici yönlerinden biri, açığın üç yıl önce kullanımdan kalkmış bir köprüde ortaya çıkmasıydı. Aztec Labs ekibinin, bu sistemlerde müdahale edebilecek herhangi bir mekanizmanın kalmadığını belirtmesi durumu daha karmaşık hale getirdi.
Gizlilik Köprüsündeki Açığın Kullanımı
Aztec Connect, Mart 2023’e kadar kullanıcıların Aave ve Lido gibi DeFi platformlarıyla etkileşim kurmasına imkan tanıyan bir zk rollup köprüsüydü. Proje, kendi sequencer altyapısını Mart 2024’te durdurdu. Gizlilik odaklı bir akıllı sözleşme projesi olarak bilinen Aztec, güçlü bir güvenlik geçmişine sahipti.
BlockSec’in Phalcon analizine göre, bu güvenlik açığı, doğrulama sürecindeki bir uyuşmazlık yüzünden oluştu. CertiK tarafından da doğrulanan bu sorun, eksik doğrulama nedeniyle oluşan bir güvenlik açığının sorumlusuydu. Sözleşme içinde sadece kanıtın başlangıcı kontrol ediliyor, dolayısıyla token transfer talimatları denetlenmeden kalıyordu. Bu durum saldırganlara manipülasyon yapma fırsatı verdi.
Aztec Labs, Aztec Connect’i üç yıl önce kullanım dışı bıraktıklarını ve sistem üzerinde kontrol imkanlarının olmadığını duyurdu.
Aztec Labs ve Vakfın Beyanları
Aztec Labs, olayla ilgili bilgi sahibi olduklarını ancak doğrudan müdahale edemeyeceklerini belirtti. Diğer taraftan, Aztec Foundation konuya ilişkin yaptığı açıklamada olayın kendi AZTEC ERC 20 token sözleşmeleri veya bugünkü Aztec ağı ile ilgili olmadığının altını çizdi. Vakıf, güncel ağın özel akıllı sözleşmelere odaklandığını dile getirdi.
Aztec Foundation, olayın Aztec ağı ve AZTEC ERC 20 tokeniyle ilişkili olmadığını, sadece eski altyapıyla sınırlı olduğunu açıkladı.
Gizlilik öncelikli strateji nedeniyle, Aztec Labs daha önce yönetici anahtarlarını devre dışı bırakmıştı. Bu hareket, sonradan ortaya çıkan güvenlik açıklarına karşı reaksiyon alınmasını da zorlaştırdı.
Maddi Kayıpların Durumu
Veriler saldırı öncesi Aztec Connect kontratlarında kilitli değerin yaklaşık 2,15 milyon dolar olduğunu gösteriyor. Çekilen varlıklar, bu kilitli değerin neredeyse tamamını oluşturuyor.
Söz konusu varlıkların izlenmemesi, eski platformlarda bırakılan fonların savunmasız kalmasına yol açtı. Yılın başından itibaren kripto dünyasında istismar sonucu yaklaşık 43,93 milyon dolar kaybedildiği bildiriliyor. Benzer şekilde Gnosis Pay ve TesseraDAO da benzer saldırılarla karşılaşmıştı. Bu durum, kullanım dışı bırakılan platformların bile hedef olmaya devam ettiğini gösteriyor.
