Saltar al contenido
Est. MMXXVIVol. VI · № 288RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 288Fallo de smart contract

Exploit de verificación de pruebas de Aztec Connect

Un atacante drenó unos $2,1M del puente obsoleto Aztec Connect explotando una validación de pruebas incompleta y retirando saldos sin respaldo de contratos inmutables.

Fecha
Víctima
Aztec Connect
Cadena(s)
Ethereum
Estado
Fondos robados

El 14 de junio de 2026, Aztec Connect — un puente de privacidad y zk-rollup obsoleto que Aztec Labs cerró en 2023 — fue explotado por aproximadamente 2,1 millones de dólares cuando un atacante abusó de una validación de pruebas incompleta para retirar fondos que el sistema nunca tuvo. Las pérdidas recayeron por completo en la plataforma heredada; la Aztec Network actual y su token no se vieron afectados.

Qué ocurrió

Según CertiK, que señaló la transacción sospechosa, y BlockSec y Aztec Labs, el atacante explotó un fallo en la lógica de verificación de transacciones de Aztec Connect. Una función del contrato verificaba solo el comienzo de la prueba enviada, mientras que las instrucciones de transferencia de tokens incrustadas en otra parte de los calldata no se comprobaban correctamente. Esa brecha permitió al atacante crear y retirar saldos sin respaldo — es decir, generar valor a partir de una validación que nunca se aplicó. A lo largo de siete transacciones, el atacante drenó alrededor de 909 ETH, 270.000 DAI, 167 wrapped staked ETH y varios otros activos, por un total de unos 2,1 millones de dólares en Ethereum, donde residían los contratos del puente de Aztec Connect.

Consecuencias

Como Aztec Connect estaba obsoleto desde 2023 y sus contratos eran totalmente inmutables, Aztec Labs no tuvo capacidad de pausar, actualizar ni intervenir una vez que se activó la vulnerabilidad. El equipo confirmó que solo la antigua plataforma se vio afectada y que los fondos de la Aztec Network actual nunca estuvieron en riesgo. No se informó de ninguna recuperación en el periodo inmediatamente posterior.

Por qué importa

El incidente de Aztec Connect es un caso de manual del tema más persistente del catálogo: los contratos obsoletos siguen siendo superficie de ataque viva mucho después de que un proyecto avanza, como los puntos de entrada de contratos heredados detrás de 1inch, Aevo y Yearn iEarn. También subraya el doble filo de la inmutabilidad: la misma propiedad que hace que un rollup minimice la confianza implica que, una vez que se despliega un fallo de verificación, no hay ruta de actualización ni botón de pausa — la única defensa es acertar exactamente con las comprobaciones de pruebas antes de congelar el código para siempre.

Fuentes y evidencia on-chain

  1. [01]cointelegraph.comhttps://cointelegraph.com/news/aztec-connects-depreciated-smart-contract-exploited-for-2-million
  2. [02]coinpaper.comhttps://coinpaper.com/17664/aztec-connect-suffers-2-1-million-exploit-years-after-shutdown
  3. [03]coininsider.comhttps://www.coininsider.com/news/attacker-drains-2-1-million-from-deprecated-aztec-connect-in-proof-verification-exploit/
  4. [04]finance.yahoo.comhttps://finance.yahoo.com/markets/crypto/articles/attacker-drains-2-1-million-070106491.html

Registros relacionados