4 millones en tres días: contratos inteligentes obsoletos, la principal vulnerabilidad del proyecto DeFi Aztec
Nueva tendencia en DeFi: saquear protocolos abandonados — y funciona.
El proyecto Aztec en pocos días se enfrentó a dos ataques importantes contra productos obsoletos, de los cuales los atacantes retiraron en total más de $4 millones.
El nuevo ataque afectó al antiguo producto de pagos de Aztec, creado en 2021. Según los datos del especialista Cos, del contrato de un puente privado se retiraron 1158 ETH, 150 000 DAI y 0,47 renBTC. La suma total fue de alrededor de $2,15 millones. Aztec Labs informó que está investigando si la vulnerabilidad en el producto obsoleto, que fue retirado de servicio en 2022, fue explotada.
La fundación Aztec aclaró que el producto dejó de recibir soporte hace aproximadamente cuatro años, y que Aztec Labs ya no tiene medios para controlar el sistema. El contrato era inmutable, y el equipo renunció a conservar las facultades administrativas hace varios años. Ese esquema luce bien desde el punto de vista de la descentralización, pero en caso de error deja a los usuarios sin un mecanismo rápido de protección.
El incidente ocurrió poco después de otro ataque a Aztec Connect, el antiguo puente del proyecto. El 14 de junio el atacante aprovechó un error en la forma en que el sistema de verificación de pruebas y el código de cálculo de la red procesaban el mismo lote de operaciones. La verificación funcionaba con grupos de 32 filas, mientras que el código de cálculo tenía en cuenta solo las filas declaradas como válidas. Esa diferencia permitió preparar 14 envíos especialmente construidos y retirar alrededor de 909 ETH, 270 513 DAI, 168 wstETH y varios tokens de las bóvedas de Yearn. El daño fue aproximadamente $2,19 millones.
Al día siguiente se produjo otro ataque con la misma técnica. Esta vez el atacante se llevó alrededor de $88 000 de las posiciones restantes vinculadas a los puentes para finanzas descentralizadas. Aztec Connect se lanzó en 2022 y en 2023 fue retirado de servicio. En abril de 2024 Aztec Labs renunció a todos los roles administrativos y a los derechos para actualizar el contrato tras un año de advertencias pidiendo retirar los fondos.
Un problema similar surgió en otros proyectos. El 15 de junio el protocolo Thetanuts Finance confirmó un ataque a una bóveda antigua de la que el equipo renunció hace varios años. El daño se estimó en $2,1 millones. Según los datos del especialista ExVul, el atacante aprovechó un error en la forma en que el protocolo retira fondos.
La serie de incidentes muestra una peligrosa debilidad de los servicios descentralizados: los contratos antiguos pueden conservar fondos durante años, pero ya no contar con un equipo capaz de cerrar rápidamente una vulnerabilidad. La renuncia a las claves de gestión impide a los desarrolladores intervenir manualmente; además, en cuanto se detecta un error, convierte al contrato en un objetivo inmóvil.
Según DefiLlama, las pérdidas de las finanzas descentralizadas por ataques en junio ya superaron $43 millones a mediados de mes. En el contexto de los últimos incidentes, los contratos obsoletos se están convirtiendo en una parte cada vez más visible de esa suma, porque los atacantes buscan no solo errores nuevos, sino también sistemas olvidados donde ya no hay quien corrija el problema encontrado.