Aztec ha comunicato che il 18 giugno un aggressore ha sfruttato uno smart contract inutilizzato nel suo network Layer 2, drenando circa 2,15 milioni di dollari in criptovalute. L’incidente ha colpito un vecchio prodotto di pagamento chiamato Aztec Payments, non lo stack principale attivo, ma ha comunque messo in luce una debolezza nel modo in cui un contratto bridge on-chain verificava le prove.
Secondo le valutazioni preliminari, l’exploit era incentrato su un difetto logico nel processo di verifica delle prove dello smart contract PrivateRollupBridge. Questo ha permesso all’aggressore di aggirare i controlli previsti e prelevare fondi dal contratto obsoleto. Il costo dell’attacco è stato minimo in confronto – circa 0,134 ETH, ovvero all’incirca 230 dollari, per portarlo a termine.
La violazione si aggiunge a una breve sequenza di problemi di sicurezza per Aztec. Pochi giorni prima, il 14 giugno, attori sconosciuti avevano svuotato un altro contratto router datato portando via quasi 2,19 milioni di dollari. Due episodi ravvicinati sollevano la stessa domanda per trader e utenti: quanto codice legacy rimane ancora attivo, anche quando un protocollo dichiara di non utilizzarlo più?
Per il mercato, il danno non è solo la perdita diretta. Colpi ripetuti a contratti dormienti possono intaccare la fiducia nei controlli operativi di un progetto, specialmente quando i fallimenti derivano da vecchi prodotti lasciati esposti on-chain. ETH in sé non è direttamente al centro del furto, ma episodi di questo tipo possono pesare sul sentiment relativo all’intero ecosistema Ethereum e alla sicurezza dei L2.
Il punto chiave ora è se Aztec possa confermare la portata del bug, correggere eventuali componenti correlati e spiegare perché il contratto fosse ancora attaccabile. I trader osserveranno anche eventuali indizi di spostamenti di fondi da parte del team, sospensioni dei servizi o la pubblicazione di un post-mortem completo. Fino ad allora, le violazioni del 14 e del 18 giugno lasciano Aztec con un nuovo problema di sicurezza e un chiaro deficit di credibilità da affrontare.
Aztec: hacker drena 2,15 mln USD da un vecchio contratto Payments
Il 18 giugno un hacker ha sfruttato uno smart contract inutilizzato nel network Layer 2 di Aztec, causando una perdita stimata di 2,15 milioni di dollari. È il secondo incidente di sicurezza nel giro di pochi giorni, dopo il drenaggio di quasi 2,19 milioni di dollari da un altro contratto obsoleto di Aztec il 14 giugno.