Le pont Private Rollup d’Aztec drainé de 2,15 millions de dollars dans une nouvelle exploitation

Le projet de mise à l’échelle d’Ethereum axé sur la confidentialité, Aztec, fait face à de nouvelles préoccupations en matière de sécurité. Après que son pont Private Rollup a été apparemment exploité pour environ 2,15 millions de dollars. Cela marque le deuxième incident majeur impliquant l’infrastructure héritée d’Aztec en quelques jours.

Selon les données de transaction en chaîne, l’attaquant a drainé environ 1,158 ETH, 150,000 DAI et 0,47 renBTC du contrat du pont Private Rollup d’Aztec. Les actifs volés ont ensuite été transférés vers des portefeuilles contrôlés par l’exploitant, suscitant de nouvelles inquiétudes dans l’industrie de la cryptomonnaie.

Le dernier incident est rapidement devenu l’une des histoires les plus discutées dans les nouvelles de piratage de cryptomonnaie. Particulièrement parce qu’il fait suite à une autre exploitation impliquant l’infrastructure Connect obsolète d’Aztec plus tôt ce mois-ci.

Comment l’exploitation aurait fonctionné

Une analyse initiale partagée par le chercheur en sécurité Cos (@evilcos) suggère que l’attaquant a abusé du mécanisme « Escape Hatch » au sein du contrat RollupProcessor.

Cette fonctionnalité a été conçue comme une mesure de sécurité. Elle permettait aux utilisateurs de soumettre des preuves de rollup pendant des fenêtres spécifiques si les opérations normales étaient interrompues. Mais les chercheurs affirment que l’attaquant a fabriqué des preuves contenant des valeurs de sortie publiques manipulées, qui ont été acceptées par le vérificateur.

En conséquence, le contrat aurait libéré des actifs directement de ses réserves de garde. Les retraits suspects comprenaient :

• 1,158 ETH
• 150,000 DAI
• 0.46963295 renBTC

La société de sécurité blockchain PeckShield a ensuite estimé les pertes totales à environ 2,16 millions de dollars.

Pression croissante sur l’infrastructure inter-chaînes

L’incident met en évidence les défis continus auxquels sont confrontés les ponts blockchain et l’infrastructure de rollup. Bien que la finance décentralisée ait considérablement mûri ces dernières années, les ponts restent parmi les vecteurs d’attaque les plus fréquemment ciblés.

Les analystes en sécurité ont noté que les dommages financiers sont relativement modestes par rapport à certains exploits historiques de ponts. Cependant, des vulnérabilités répétées peuvent avoir un impact plus large sur la confiance des utilisateurs. Les observateurs de l’industrie avertissent que la confiance devient souvent la plus grande victime après des attaques de ponts, surtout lorsque des projets subissent plusieurs incidents de sécurité en peu de temps.

La communauté attend une réponse officielle

La Fondation Aztec et Aztec Labs ont reconnu l’incident. Ils ont déclaré qu’ils enquêtaient sur une potentielle exploitation affectant un produit de paiement Aztec obsolète lancé en 2021. 

Selon leurs déclarations, le système affecté est un rollup immuable de niveau 2 qui a été arrêté en 2022. Il a été obsolète pendant quatre ans et n’est pas connecté au réseau Aztec actuel ou au jeton AZTEC ERC-20. Les équipes ont déclaré qu’elles fourniraient d’autres mises à jour à mesure que l’enquête se poursuivrait.

L’attaquant présumé aurait été financé par un portefeuille lié à la plateforme d’échange de cryptomonnaies HitBTC avant d’exécuter l’exploitation, selon des enquêteurs en chaîne. L’événement survient alors que l’industrie dans son ensemble continue de donner la priorité aux améliorations de sécurité après des années de piratages de ponts très médiatisés et de vulnérabilités de protocoles.

À mesure que de nouveaux détails émergent, la dernière exploitation d’Aztec devrait rester une histoire suivie de près dans les nouvelles de la cryptomonnaie aujourd’hui. Elle sert de rappel clair que même une infrastructure blockchain sophistiquée nécessite des examens de sécurité continus et des audits rigoureux pour protéger les fonds des utilisateurs.