Aztec a déclaré qu’un attaquant a exploité un contrat intelligent inutilisé de son réseau Layer 2 le 18 juin, siphonnant environ 2,15 millions de dollars en cryptoactifs. L’incident a touché un ancien produit de paiement nommé Aztec Payments, et non la pile active principale, mais il a néanmoins révélé une faille dans la manière dont un contrat de pont on-chain vérifiait les preuves.
Selon les premières évaluations, l’exploit portait sur un défaut logique dans le processus de vérification des preuves du contrat intelligent PrivateRollupBridge. Cela a permis à l’attaquant de contourner les contrôles prévus et de retirer des fonds du contrat obsolète. Le coût de l’attaque a été minime en comparaison – environ 0,134 ETH, soit à peu près 230 dollars, pour l’exécuter.
Cette brèche s’ajoute à une série de problèmes de sécurité pour Aztec. Quelques jours plus tôt, le 14 juin, des acteurs inconnus avaient vidé un autre contrat de routeur obsolète et emporté près de 2,19 millions de dollars. Deux incidents en si peu de temps soulèvent la même question pour les opérateurs et les utilisateurs : quelle quantité de code hérité demeure encore actif, même quand un protocole annonce ne plus l’utiliser ?
Pour le marché, le préjudice ne se limite pas à la perte directe. Des attaques répétées sur des contrats dormants peuvent entamer la confiance dans les contrôles opérationnels d’un projet, surtout quand les failles proviennent d’anciens produits laissés exposés on-chain. L’ETH en tant que tel n’est pas directement au centre du vol, mais des incidents de ce genre peuvent peser sur le sentiment autour de l’écosystème Ethereum dans son ensemble et de la sécurité des L2.
L’élément clé désormais est de savoir si Aztec peut confirmer l’étendue du bug, corriger tout composant lié et expliquer pourquoi le contrat est resté attaquable. Les opérateurs surveilleront également tout signe indiquant que l’équipe déplace des fonds, met des services en pause ou publie un post-mortem complet. D’ici là, les brèches des 14 et 18 juin laissent Aztec face à un nouveau problème de sécurité et à un net problème de crédibilité.
Aztec : un pirate siphonne 2,15 M$ d’un ancien contrat Payments
Le 18 juin, un pirate a exploité un contrat intelligent inutilisé du Layer 2 d’Aztec, provoquant une perte estimée à 2,15 millions de dollars. Il s’agit du deuxième incident de sécurité en quelques jours, après un drain de près de 2,19 millions de dollars d’un autre contrat obsolète d’Aztec le 14 juin.