Uma pequena falha de validação, um dreno de US$ 2,19 milhões – O que deu errado na Aztec Network?

O contrato do roteador da Aztec Network virou notícia após ser objeto de uma transação suspeita descoberta no Ethereum [ETH] blockchain. Isso levou à perda de ativos avaliados em cerca de US$ 2,19 milhões.

Na verdade, o endereço da carteira “0x0f18….edd17” utilizou dinheiro do contrato do roteador do protocolo para realizar a transação.

De acordo com CertiKo ataque foi “suspeito” porque o invasor pode ter aproveitado uma fraqueza no contrato inteligente, obtido acesso não autorizado aos fundos do protocolo ou alterado a lógica do contrato para desviar ativos.

Uma possível falha na validação de contrato inteligente

No entanto, algumas pistas sugeriram que o tratamento dos dados de prova pelo protocolo era falho no validação de contrato inteligente processo. O problema parecia estar especificamente na função computaRootHashes()que supervisionou a confirmação da legitimidade do fornecimento _provaDados mas apenas examinou a primeira parte dele.

No entanto, a porção intermediária do mesmo _provaDados carga útil continha os dados que processDepositsAndWithdrawals() posteriormente usado para realizar transferências de tokens.

Portanto, um invasor pode ter criado uma prova maliciosa na qual a seção intermediária não verificada continha instruções manipuladas de depósito ou retirada, enquanto a parte verificada permanecia válida e passava nas verificações de segurança do protocolo.

Por sua vez, o contrato acabou realizando transferências não autorizadas de tokens porque essas instruções não foram devidamente autenticadas antes do processamento. Simplificando, parecia haver uma discrepância entre o que foi verificado e o que foi realmente executado.

Mais incidentes desse tipo

O momento aqui é interessante porque o Raydium também encontrou um erro de codificação em seu antigo programa AMM V3, que causou o roubo de US$ 1,34 milhão em criptomoedas de cinco pools.

Enquanto isso, outro ataque de aquisição de governança viu um explorador roubar cerca de US$ 1,5 milhão em Ethereum de um pool de liquidez do Balancer.

Uma nova exploração que tinha como alvo o Alephium TokenBridge da Ethereum também foi encontrada recentemente. Nesta façanha, $ 815.000 foram drenados em sete minutos, usando três das quatro chaves guardiãs comprometidas que assinaram VAAs (Aprovações de Ação Verificadas) forjadas.

Da mesma forma, de acordo com uma investigação independente da Quantstamp, O Protocolo Humanidade vinculou um ataque de phishing direcionado contra um de seus diretores para a aquisição de credenciais administrativas pelo invasor, atualizações de contratos, transferências de tokens Ethereum e criação de novos tokens H na cadeia BNB.

No geral, o valor total hackeado (USD) atingiu agora US$ 81,73 milhões em 30 dias, de acordo com dados do DeFiLlama. Com US$ 634,85 milhões perdidos somente em 2026, abril viu o maior valor drenado até agora.