Aztec voor tweede keer in dagen gehackt, ruim 4 miljoen weg

In dit artikel:

Een kwaadwillende heeft donderdag ongeveer 2,15 miljoen dollar aan cryptocurrency uit het Aztec-ecosysteem weggesluisd door een verouderd smart contract te misleiden. Cybersecuritybedrijf SlowMist meldt dat de private rollup-bridge van Aztec werd aangevallen, waarbij 1.158 ETH, 150.000 DAI en 0,46 renBTC zijn overgeboekt naar een wallet van de aanvaller. Volgens de eerste analyse gebruikte de dader een vervalst rollup-bewijs om het protocol te overtuigen de middelen vrij te geven.

Aztec Labs bevestigde het incident en lichtte toe dat het getroffen contract onderdeel was van een betaalproduct dat al in 2022 was stopgezet. Omdat het smart contract onveranderlijk is, kon het team de transacties niet blokkeren of het systeem stilleggen. Deze hack volgt op een eerdere aanval afgelopen zondag, toen ongeveer 2,1 miljoen dollar werd gestolen uit Aztec Connect — een privacy-rollup die sinds maart 2023 niet meer actief wordt ondersteund. Samen loopt de schade in enkele dagen op tot ruim 4 miljoen dollar.

De incidenten illustreren een groter probleem in de cryptowereld: verouderde, niet-gemanteneerde smart contracts blijven aanzienlijke bedragen bevatten en vormen daardoor aantrekkelijke prooien voor hackers. Eerder deze maand verloor gedecentraliseerde beurs Raydium ook circa 1,3 miljoen dollar door kwetsbare, oude infrastructuur. Risicoanalist Blockful waarschuwt dat het risico toeneemt zodra projecten stoppen met onderhoud, en SlowMist raadt aan activa die vastzitten in oude contracten zo snel mogelijk te migreren naar recente, veiligere systemen.

Kortom: ongewijzigde, verouderde contracts blijven één van de zwakke schakels in de markt — zolang er miljoenen in zulke contracten staan, zullen aanvallers daarop blijven mikken.