Hacker steelt 2,1 miljoen dollar uit oud DeFi-platform op Ethereum

In dit artikel:

Een onbekende hacker heeft onlangs ongeveer 2,1 miljoen dollar aan cryptovaluta weggenomen uit Aztec Connect, een verouderd DeFi-platform op Ethereum. De aanval misbruikte een kwetsbaarheid in een smart contract dat sinds maart 2023 niet meer actief wordt gebruikt. Aztec Labs, de ontwikkelaar van het Aztec-ecosysteem, meldt dat het incident geen gevolgen heeft voor het huidige Aztec Network.

Beveiligingsbedrijf BlockSec concludeert dat de aanvaller de zwakke plek misbruikte in de transactieverificatie van Aztec Connect. Daardoor konden kunstmatige tegoeden worden aangemaakt die niet daadwerkelijk op Ethereum waren goedgekeurd, waarna die saldi werden uitgekeerd. Door deze methode herhaaldelijk toe te passen werden onder meer 909 ETH, 270.000 DAI, 167 wstETH en meerdere andere tokens buitgemaakt, samen goed voor ongeveer 2,1 miljoen dollar.

Aztec Connect werd in 2022 gelanceerd als een DeFi-bridge binnen het Aztec-ecosysteem, met toepassingen voor privacy via zero-knowledge-technologie. Het project werd begin 2023 stilgelegd en accepteert sindsdien geen nieuwe stortingen meer. Omdat de oude smart contracts onveranderlijk zijn, kan Aztec Labs ze niet pauzeren of updaten; het team heeft dus geen controle over het getroffen contract.

De gebeurtenis benadrukt een structureel risico in DeFi: verlaten of verouderde smart contracts blijven op de blockchain bestaan en kunnen jaren later nog aantrekkelijk vuilnis voor aanvallers vormen, zeker als er nog fondsen in achterblijven. Analyseplatform DeFiLlama wijst erop dat exploits in dit ecosysteem veelvuldig voorkomen; ook recent werden andere protocollen aangevallen.

Kernboodschap voor gebruikers: controleer of een protocol actief wordt onderhouden voordat je ermee interageert. Oude, onveranderlijke contracten blijven kwetsbaar en vormen een blijvend risico in de cryptowereld.