Aztec piraté une deuxième fois en quelques jours, plus de 4 millions envolés

Le projet blockchain Aztec subit de nouveau une importante cyberattaque. Quelques jours seulement après un précédent piratage, un attaquant a réussi à dérober environ 2,15 millions de dollars en cryptomonnaies à partir d’un système obsolète du projet. Le montant total des pertes pour l’écosystème Aztec dépasse ainsi les 4 millions de dollars en moins d’une semaine.

L’incident met en lumière un problème récurrent dans le secteur des cryptomonnaies. Les anciens smart contracts, souvent laissés à l’abandon, contiennent encore des millions de dollars d’actifs utilisateurs, ce qui en fait des cibles de choix pour les hackers.

Le hacker trompe Aztec avec une preuve falsifiée

Selon l’entreprise de cybersécurité SlowMist, la passerelle de rollup privée d’Aztec a été attaquée jeudi. Lors de cette attaque, 1 158 Ether (ETH), 150 000 Dai (DAI) et 0,46 renBTC (RENBTC) ont disparu du protocole.

La valeur totale du butin était d’environ 2,15 millions de dollars au moment de l’attaque.

Une première analyse indique que l’attaquant a utilisé une preuve de rollup falsifiée. Cela a trompé le protocole, qui a libéré les actifs vers un portefeuille contrôlé par le hacker.

Aztec Labs a confirmé l’incident et souligné que le contrat affecté faisait partie d’un produit de paiement arrêté dès 2022. Étant donné que le smart contract est immuable, l’équipe n’avait pas la possibilité de bloquer les transactions ou de désactiver le système.

Deuxième attaque en quelques jours

Ce nouveau piratage est distinct d’une attaque précédente contre Aztec survenue dimanche dernier. Lors de celle-ci, environ 2,1 millions de dollars ont été dérobés à partir d’Aztec Connect, une solution de rollup axée sur la confidentialité qui n’est plus maintenue depuis mars 2023.

Malgré l’arrêt du projet, des actifs utilisateurs étaient encore stockés dans le système, selon SlowMist. Cela a rendu la plateforme attrayante pour les cybercriminels.

En combinant les deux attaques, l’écosystème Aztec a perdu plus de 4 millions de dollars en quelques jours.

Les smart contracts obsolètes, un danger croissant

Ces incidents s’inscrivent dans une tendance plus large du secteur des cryptomonnaies. Au début du mois, l’échange décentralisé Raydium a également été touché par une attaque ayant entraîné la perte d’environ 1,3 million de dollars via une infrastructure vulnérable et obsolète.

Selon la société d’analyse de risques Blockful, les anciens smart contracts représentent un risque de sécurité de plus en plus grand. Lorsque les projets cessent d’être activement maintenus, les vulnérabilités éventuelles subsistent, alors que des montants souvent considérables y sont encore stockés.

« Les contrats obsolètes restent des cibles attrayantes pour les hackers. Quand les protocoles abandonnent la responsabilité de leur maintenance, le risque augmente », a écrit Blockful sur X.

Par conséquent, SlowMist conseille aux projets de migrer rapidement les actifs encore bloqués dans d’anciens contrats vers une infrastructure plus récente.

Les récentes attaques contre Aztec et Raydium montrent que les systèmes blockchain abandonnés restent l’un des maillons faibles du marché des cryptomonnaies. Tant que des millions de dollars seront encore présents dans des contrats obsolètes, les hackers continueront de chercher à en tirer parti.