Cầu nối Private Rollup của Aztec bị rút sạch 2,15 triệu USD trong vụ khai thác mới

Dự án mở rộng Ethereum tập trung vào quyền riêng tư Aztec đang phải đối mặt với những lo ngại về an ninh mới. Sau khi cầu nối Private Rollup của nó được báo cáo đã bị khai thác khoảng 2,15 triệu USD. Đây là sự cố lớn thứ hai liên quan đến cơ sở hạ tầng Aztec cũ chỉ trong vài ngày.

Theo dữ liệu giao dịch trên chuỗi, kẻ tấn công đã rút khoảng 1,158 ETH, 150,000 DAI và 0,47 renBTC từ hợp đồng cầu nối Private Rollup của Aztec. Các tài sản bị đánh cắp sau đó được chuyển đến các ví do kẻ khai thác kiểm soát, gây ra những lo ngại mới trong ngành công nghiệp tiền điện tử.

Sự cố mới nhất nhanh chóng trở thành một trong những câu chuyện được thảo luận nhiều nhất trong tin tức hack tiền điện tử. Đặc biệt vì nó xảy ra sau một vụ khai thác riêng biệt liên quan đến cơ sở hạ tầng Connect đã ngừng hoạt động của Aztec vào đầu tháng này.

Cách thức vụ khai thác được cho là đã diễn ra

Phân tích ban đầu được chia sẻ bởi nhà nghiên cứu an ninh Cos (@evilcos) cho thấy kẻ tấn công đã lợi dụng cơ chế “Escape Hatch” trong hợp đồng RollupProcessor của Aztec.

Tính năng này được thiết kế như một biện pháp an toàn. Nó cho phép người dùng gửi chứng minh rollup trong các khoảng thời gian cụ thể nếu hoạt động bình thường bị gián đoạn. Nhưng các nhà nghiên cứu cho rằng kẻ tấn công đã tạo ra các chứng minh chứa các giá trị đầu ra công khai bị thao túng, và chúng đã được người xác minh chấp nhận.

Kết quả là, hợp đồng được cho là đã phát hành tài sản trực tiếp từ quỹ bảo quản của nó. Các khoản rút tiền đáng ngờ bao gồm:

• 1,158 ETH
• 150,000 DAI
• 0.46963295 renBTC

Công ty an ninh blockchain PeckShield sau đó ước tính tổng thiệt hại khoảng 2,16 triệu USD.

Áp lực gia tăng đối với cơ sở hạ tầng chuỗi chéo

Sự cố này làm nổi bật những thách thức tiếp tục mà các cầu nối blockchain và cơ sở hạ tầng rollup đang phải đối mặt. Trong khi tài chính phi tập trung đã trưởng thành đáng kể trong những năm gần đây. Các cầu nối vẫn là một trong những mục tiêu tấn công thường xuyên nhất.

Các nhà phân tích an ninh lưu ý rằng thiệt hại tài chính tương đối khiêm tốn so với một số vụ khai thác cầu nối lịch sử. Tuy nhiên, những lỗ hổng lặp đi lặp lại có thể ảnh hưởng rộng hơn đến sự tự tin của người dùng. Các quan sát viên trong ngành cảnh báo rằng lòng tin thường trở thành tổn thất lớn nhất sau các cuộc tấn công cầu nối. Đặc biệt khi các dự án trải qua nhiều sự cố an ninh trong một khoảng thời gian ngắn.

Cộng đồng chờ đợi phản hồi chính thức

Quỹ Aztec và Aztec Labs đã thừa nhận sự cố này. Họ cho biết đang điều tra một vụ khai thác tiềm năng ảnh hưởng đến một sản phẩm thanh toán Aztec đã ngừng hoạt động được ra mắt vào năm 2021. 

Theo các tuyên bố của họ, hệ thống bị ảnh hưởng là một rollup giai đoạn 2 không thể thay đổi đã ngừng hoạt động vào năm 2022. Nó đã bị ngừng hoạt động trong 4 năm và không liên kết với mạng Aztec hiện tại hoặc token AZTEC ERC-20. Các đội cho biết họ sẽ cung cấp thêm thông tin cập nhật khi cuộc điều tra tiếp tục.

Kẻ tấn công được cho là đã được tài trợ thông qua một ví liên kết với sàn giao dịch tiền điện tử HitBTC trước khi thực hiện vụ khai thác, theo các nhà điều tra trên chuỗi. Sự kiện này diễn ra khi ngành công nghiệp rộng lớn hơn tiếp tục ưu tiên cải thiện an ninh sau nhiều năm xảy ra các vụ hack cầu nối và lỗ hổng giao thức nổi bật.

Khi nhiều chi tiết được tiết lộ, vụ khai thác Aztec mới nhất dự kiến sẽ tiếp tục là một câu chuyện được theo dõi chặt chẽ trong tin tức tiền điện tử hôm nay. Nó là một lời nhắc nhở khác rằng ngay cả cơ sở hạ tầng blockchain tinh vi cũng cần được xem xét an ninh liên tục và kiểm toán nghiêm ngặt để bảo vệ quỹ của người dùng.