Het Aztec Network is opnieuw het slachtoffer van een exploit. Een aanvaller weet via een kwetsbaarheid in de Private Rollup Bridge in totaal 1.158 Ethereum, 150.000 DAI en 0,4696 renBTC buit te maken. De totale schade bedraagt ongeveer $2,2 miljoen. Beveiligingsbedrijven SlowMist en PeckShield slaan alarm en delen details over de aanval.
Ethereum is verkrijgbaar bij Bitvavo en Bybit.
Hoe de aanval werkt
Volgens SlowMist zit de oorzaak van de hack in de RollupProcessor.escapeHatch() functie. Dit onderdeel van het slimme contract mist elke vorm van toegangscontrole: er is geen onlyOwner beveiliging, geen autorisatie via rollupProviders en geen verificatie van een provider-handtekening. Doordat de TurboVerifier een escape hatch proof accepteert wanneer de rollupSize gelijk is aan nul, kan een aanvaller valse publieke invoer meesturen.
De functie processDepositsAndWithdrawals() vertrouwt vervolgens blind op de publieke invoer uit de proofData, zonder zelfstandig te controleren of de afzender daadwerkelijk eigenaar is van de fondsen of voldoende saldo heeft om op te nemen. Zo weet de aanvaller het commando withdraw(1158 ETH, attacker, 0) uit te voeren en de volledige inhoud van de RollupProcessor leeg te trekken.
Aanvaller gefinancierd via HitBTC
PeckShield meldt dat het aanvallersadres (0x6952d9246e9afe8b887b2877225163436f78e97f) oorspronkelijk werd gefinancierd met 0,134 Ethereum afkomstig van de exchange HitBTC. Dit is een veelgebruikte tactiek waarbij aanvallers hun startkapitaal via een exchange verkrijgen om transactiekosten te dekken voordat ze een aanval uitvoeren.
De Ethereum koers staat op het moment van de hack op $1.749,01, een daling van 0,8% in de afgelopen 24 uur. De gestolen 1.158 ETH vertegenwoordigt daarmee alleen al ruim $2 miljoen aan waarde. Het is niet de eerste keer dat het Aztec netwerk te maken krijgt met een beveiligingsincident, wat vragen oproept over de robuustheid van de smart contract audits binnen het protocol.
Blijf altijd op de hoogte van het laatste crypto nieuws via Google Nieuws.
Ontvang 10 euro gratis Ethereum
Jouw cryptoavontuur starten met €10 gratis Ether? In samenwerking met Bitvavo mogen wij vandaag 10 euro aan gratis Ethereum of een andere crypto weggeven aan onze lezers (na een storting van minimaal 10 euro).
Maak via onderstaande knop een account aan en je ontvangt een welkomstbonus van 10 euro. Ook handel je de eerste €10.000 binnen de eerste 7 dagen na je registratie helemaal gratis (t.w.v. €25). Alle voorwaarden vind je op de pagina onder de knop.