Il settore della finanza decentralizzata (DeFi) ha ricevuto un nuovo e netto avvertimento sui rischi persistenti dei smart contract abbandonati quando un attaccante è riuscito a drenare $2,1 milioni da Aztec Connect, un protocollo focalizzato sulla privacy che ha cessato le operazioni tre anni fa. L'exploit, eseguito il 14 giugno, dimostra come l'infrastruttura blockchain deprecata possa rimanere vulnerabile molto tempo dopo la chiusura dei progetti.

La società di sicurezza blockchain CertiK ha identificato la transazione sospetta e l'ha segnalata sulla piattaforma social X, rivelando che l'attaccante ha sfruttato un difetto fondamentale nella logica di verifica dei proof del protocollo. La vulnerabilità era incentrata su una validazione incompleta dei proof sottomessi, che ha permesso all'attore malevolo di manipolare i meccanismi di sicurezza centrali del sistema ed estrarre fondi rimasti bloccati negli smart contract del protocollo.

Aztec Connect operava originariamente come layer di privacy per Ethereum, permettendo agli utenti di condurre transazioni private mantenendo la compatibilità con i protocolli DeFi esistenti. La piattaforma utilizzava zero-knowledge proof per oscurare i dettagli delle transazioni pur preservando la capacità di interagire con applicazioni popolari come Uniswap e Aave. Tuttavia, gli sviluppatori del progetto hanno annunciato la chiusura nel 2023, lasciando gli smart contract e i fondi degli utenti in uno stato deprecato senza manutenzione attiva o monitoraggio della sicurezza.

L'exploit evidenzia una debolezza critica nel modo in cui l'ecosistema DeFi gestisce i cicli di vita dei progetti e il ritiro degli smart contract. A differenza dei servizi finanziari tradizionali che possono essere chiusi in modo ordinato e le risorse ridistribuite, i protocolli basati su blockchain spesso lasciano il codice immutabile in esecuzione indefinitamente. Questi "contratti zombie" possono contenere milioni di dollari in asset bloccati mentre mancano della supervisione della sicurezza e degli aggiornamenti per i bug che i progetti attivi solitamente ricevono.

Il metodo dell'attaccante ha comportato la manipolazione del sistema di verifica dei proof che Aztec Connect utilizzava per validare le transazioni private. Inviando proof malformati o incompleti che superavano la logica di validazione difettosa, l'exploiter poteva convincere lo smart contract a rilasciare fondi senza soddisfare i corretti requisiti crittografici. Questo tipo di bypass della validazione rappresenta una delle categorie più pericolose di vulnerabilità degli smart contract, poiché mina gli assunti di fiducia fondamentali dell'intero sistema.

Gli esperti di sicurezza del settore hanno a lungo avvertito dei rischi posti dai protocolli DeFi deprecati. Molti progetti vengono lanciati con grande pubblicità e adozione da parte degli utenti, accumulando un TVL sostanziale, ma mancano di procedure comprehensive di sunset al momento della cessazione delle operazioni. L'incidente di Aztec Connect sottolinea la necessità di migliori standard industriali attorno al ritiro dei progetti, inclusi audit di sicurezza obbligatori prima della chiusura e chiari cronoprogrammi per la deprecazione dei contratti.

La perdita di $2,1 milioni solleva anche domande sul comportamento degli utenti e la valutazione del rischio in DeFi. Nonostante la chiusura di Aztec Connect tre anni fa, fondi sostanziali rimanevano negli smart contract del protocollo, suggerendo che gli utenti erano ignari della cessazione delle operazioni o incapaci di prelevare i loro asset. Questo schema è diventato sempre più comune mentre lo spazio DeFi matura e i primi progetti sperimentali cessano le operazioni.

Per l'ecosistema più ampio, questo exploit serve come promemoria cruciale che la sicurezza degli smart contract si estende ben oltre le fasi di lancio e operazione attiva. Con sempre più protocolli DeFi che raggiungono lo stato di fine vita, l'industria deve sviluppare framework robusti per decomissionare in modo sicuro gli smart contract e proteggere i fondi degli utenti durante i periodi di transizione. L'alternativa—lasciare milioni di dollari in codice abbandonato—crea un bersaglio attraente per gli attaccanti sofisticati disposti a sfruttare i sistemi deprecati.

Scritto dal team editoriale — giornalismo indipendente powered by Bitcoin News.