Aztec investiga exploração de US$ 2,1 mi em bridge descontinuada de zk-rollup
Aprofundamento CEVIU
Aprofundamento
O Aztec Connect não foi apenas descontinuado: foi enterrado com contratos imutáveis e sem admin, mas ainda com fundos residuais, o que virou alvo. O exploit de US$ 2,1 milhões em 15 de junho explorou uma falha técnica precisa no RollupProcessorV3: uma discrepância entre numRealTxs e decoded_slots dentro de uma única transação atômica. Isso fez a camada 1 do Ethereum interpretar errado a lista de transações validadas por zk-proof, gerando saldos 'fantasmas' que o atacante sacou em 14 chamadas sucessivas.
O segundo ataque, em 18 de junho, no Private Rollup Bridge, repetiu o padrão: mesma raiz, falha na lógica de verificação de provas ZK em infraestrutura legada. Não foi erro de implementação nova, nem de atualização recente. Foi um bug antigo, nunca corrigido, agora exposto por quem sabia que os contratos estavam congelados, mas ainda respondiam.
O que mudou
A cobertura CEVIU de 16 de junho já identificava o exploit como resultado de incompatibilidade na verificação de provas ZK, mas só agora, com os dados da BlockSec e CertiK, sabemos exatamente onde: no desalinhamento entre parâmetros de processamento e decodificação dentro do mesmo bloco. Também confirmamos que o Aztec renunciou às chaves de administração em 2023, tornando os contratos verdadeiramente irremediáveis, não 'sem suporte', mas tecnicamente intocáveis. E o segundo ataque, em 18 de junho, mostra que o vetor não era único: é um padrão replicável em toda a stack legada da Aztec.
Por que isso importa
Pontes não são só pontes: são contratos de liquidação com saldo real, mesmo quando desativadas. O Aztec Connect tinha depósitos desabilitados desde março de 2023, sequenciador desligado em março de 2024, mas os fundos ficaram lá, em contratos que ninguém mais auditava. Esse caso não é exceção: é a regra para infraestrutura Web3 abandonada. A Raydium perdeu US$ 1,34 mi em pools V3 inativos; a Kelp DAO, US$ 292 mi em uma bridge LayerZero mal configurada. O risco não está no novo, está no antigo que ainda responde.
Linha do tempo
Aztec Connect desabilita depósitos e inicia período de retirada de um ano
Sequenciador do Aztec Connect é desativado; contratos tornam-se imutáveis após renúncia de chaves de administração
Primeiro exploit no Aztec Connect: US$ 2,1 milhões drenados via falha em verificação de provas ZK no RollupProcessorV3
Segundo exploit na infraestrutura legada: US$ 2,15 milhões drenados do Private Rollup Bridge com vetor semelhante
Aztec Labs confirma investigação e reafirma que o produto está descontinuado e sem suporte
Perguntas frequentes
O Aztec Connect ainda estava ativo quando foi explorado?
Não. Os depósitos foram desabilitados em 31 de março de 2023. O sequenciador foi desligado em 31 de março de 2024. Os contratos permaneceram implantados e imutáveis, mas com saldos residuais ainda acessíveis via chamadas diretas.
Esse exploit afeta a rede Aztec atual ou o token AZTEC?
Não. A Aztec Labs e a Aztec Foundation esclareceram que o incidente envolve apenas a infraestrutura legada do Aztec Connect. A rede atual, baseada em Noir e focada em privacidade zero-knowledge, opera com contratos novos e separados.
Por que não foi possível pausar ou corrigir o contrato?
A equipe renunciou às chaves de administração em 2023. Os contratos se tornaram imutáveis por design, sem funções de upgrade, pause ou owner. Nenhuma correção ou mitigação técnica era possível após a desativação.
Há outros casos recentes de exploits em contratos descontinuados?
Sim. A Raydium perdeu US$ 1,34 mi em 10 de junho em pools AMM V3 inativas. Em abril, a Kelp DAO sofreu US$ 292 mi por falha em configuração de signer LayerZero. Em maio, o Echo Protocol perdeu US$ 77 mi por chave admin comprometida. O padrão é claro: infraestrutura legada com saldo vira alvo prioritário.
Fontes
- theblock.cofonte original
- Categoria
- CEVIU Cripto
- Publicado
- 19 de junho de 2026
- Editoria
- CEVIU Cripto