Aztec a subi une deuxième violation en trois jours, les attaquants siphonnant environ 2,5 millions de dollars du Private Rollup Bridge du protocole en raison d'une faille dans son mécanisme de trappe de secours.
Mécanique de l'exploit aztèque
La récente attaque a exploité une erreur de conception qui a permis à des acteurs malveillants de déclencher la fonction de sortie de secours du pont sans vérification appropriée. Plus tôt dans la même semaine, une vulnérabilité distincte est apparue lorsque les compteurs de transactions ont divergé des données cumulées que la blockchain était censée valider, exposant ainsi des fonds supplémentaires au vol. Les deux incidents soulignent à quel point les interactions complexes entre les contrats en chaîne et la vérification hors chaîne peuvent ouvrir des surfaces d'attaque inattendues.
Risques plus larges pour les projets de couche 2 et de connaissances nulles
Les investisseurs et les développeurs sont désormais soumis à une surveillance accrue, car les solutions de couche 2 et les architectures à connaissance nulle deviennent des cibles privilégiées pour des exploits sophistiqués. Les deux incidents aztèques illustrent que la sauvegarde des écosystèmes complexes de blockchain nécessite un audit continu du code des contrats intelligents et de l'infrastructure environnante. Les acteurs du marché devraient surveiller les protocoles de sécurité émergents qui visent à combler les écarts entre les applications décentralisées et leurs couches de vérification sous-jacentes.
L'opérateur MEV jaredfromsubway.eth perd 15 millions de dollars
L'opérateur Ethereum MEV, jaredfromsubway.eth, a signalé une perte d'environ 15 millions de dollars après qu'un attaquant ait réécrit la logique de trading automatisée du robot au lieu d'exploiter un bug de contrat intelligent classique. L'intrus a fabriqué des actifs enveloppés et manipulé des pools de liquidités pour créer une fausse opportunité sandwich, incitant le robot à accorder l'autorisation d'extraction d'actifs. Ce nouveau vecteur d'attaque met en évidence la nécessité de contrôles d'accès robustes dans le cadre de l'automatisation du crypto-trading, alors que les investisseurs s'appuient de plus en plus sur des stratégies algorithmiques pour participer au marché.