Aller au contenu
Fondé MMXXVIVol. VI · № 288RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 288Bug de smart contract

Exploit de vérification de preuve d'Aztec Connect

Un attaquant a drainé environ 2,1 M$ du pont obsolète Aztec Connect en exploitant une validation de preuve incomplète pour retirer des soldes non couverts de contrats immuables.

Date
Victime
Aztec Connect
Chaîne(s)
Ethereum
Statut
Fonds dérobés

Le 14 juin 2026, Aztec Connect — un pont de confidentialité et un zk-rollup obsolète qu'Aztec Labs avait fermé en 2023 — a été exploité pour environ 2,1 millions de dollars lorsqu'un attaquant a abusé d'une validation de preuve incomplète pour retirer des fonds que le système n'a jamais détenus. Les pertes ont entièrement touché l'ancienne plateforme ; l'Aztec Network actuel et son jeton n'ont pas été affectés.

Ce qui s'est passé

Selon CertiK, qui a signalé la transaction suspecte, ainsi que BlockSec et Aztec Labs, l'attaquant a exploité une faille dans la logique de vérification des transactions d'Aztec Connect. Une fonction du contrat ne vérifiait que le début de la preuve soumise, tandis que les instructions de transfert de jetons intégrées ailleurs dans les calldata n'étaient pas correctement contrôlées. Cette lacune a permis à l'attaquant de créer et de retirer des soldes non couverts — générant de la valeur à partir d'une validation qui n'a jamais été appliquée. Sur sept transactions, l'attaquant a drainé environ 909 ETH, 270 000 DAI, 167 wrapped staked ETH et plusieurs autres actifs, pour un total d'environ 2,1 millions de dollars sur Ethereum, où résidaient les contrats du pont d'Aztec Connect.

Conséquences

Comme Aztec Connect était obsolète depuis 2023 et que ses contrats étaient entièrement immuables, Aztec Labs n'a eu aucun moyen de mettre en pause, de mettre à jour ou d'intervenir une fois la vulnérabilité déclenchée. L'équipe a confirmé que seule l'ancienne plateforme avait été affectée et que les fonds de l'Aztec Network actuel n'avaient jamais été en danger. Aucune récupération n'a été signalée dans l'immédiat.

Pourquoi c'est important

L'incident Aztec Connect est un cas d'école du thème le plus tenace du catalogue : les contrats obsolètes restent une surface d'attaque active longtemps après qu'un projet a tourné la page, à l'image des points d'entrée par contrats hérités derrière 1inch, Aevo et Yearn iEarn. Il souligne aussi le revers de l'immuabilité : la propriété même qui rend un rollup à confiance minimisée signifie qu'une fois un bug de vérification déployé, il n'existe ni voie de mise à jour ni bouton de pause — la seule défense consiste à rendre les vérifications de preuve exactement correctes avant que le code ne soit figé pour toujours.

Sources & preuves on-chain

  1. [01]cointelegraph.comhttps://cointelegraph.com/news/aztec-connects-depreciated-smart-contract-exploited-for-2-million
  2. [02]coinpaper.comhttps://coinpaper.com/17664/aztec-connect-suffers-2-1-million-exploit-years-after-shutdown
  3. [03]coininsider.comhttps://www.coininsider.com/news/attacker-drains-2-1-million-from-deprecated-aztec-connect-in-proof-verification-exploit/
  4. [04]finance.yahoo.comhttps://finance.yahoo.com/markets/crypto/articles/attacker-drains-2-1-million-070106491.html

Dépôts liés