Un contrato inteligente obsoleto y abandonado en Ethereum se ha convertido en la última y dolorosa advertencia para el mundo de las finanzas descentralizadas (DeFi). El 14 de junio de 2026, un atacante sustrajo aproximadamente $2.1 millones en criptoactivos de Aztec Connect, un puente de privacidad basado en ZK-Rollups que el equipo de Aztec Labs había cerrado oficialmente en marzo de 2023 . Lo más alarmante no es que se explotara una vulnerabilidad nueva, sino que el fallo residía en un contrato que, por diseño, ya nadie podía controlar.
Fue la firma de seguridad CertiK la primera en alertar sobre la actividad sospechosa en el contrato RollupProcessorV3, el enrutador principal del viejo rollup, identificando la billetera del atacante como 0x0f18d8b44a740272f0be4d08338d2b165b7edd17 . Mientras que CertiK estimó la pérdida en unos $2.19 millones, Aztec Labs citó una cifra más cercana a los $2.1 millones
. Los activos robados incluyeron cerca de 909 ETH, 270,000 DAI, 167 wstETH y varios tokens de bóvedas de Yearn como yvDAI, yvWETH e yvLUSD
.
El ataque se produjo justo en la frontera entre la lógica de verificación de pruebas de conocimiento cero (ZK) y el procesamiento de liquidaciones en la capa base de Ethereum. Según CertiK, una de las funciones de verificación del contrato solo comprobaba el inicio de la prueba presentada. Esto significa que los parámetros que autorizaban la transferencia de tokens, enterrados más profundamente en la carga de datos, nunca se validaban por completo . El atacante pudo presentar una prueba que pasaba los filtros iniciales pero contenía instrucciones de retiro maliciosas.
Un análisis posterior de SlowMist fue aún más preciso: identificó la causa raíz en los límites de iteración del bucle de liquidación L1 dentro del contrato RollupV3. El atacante se aprovechó de una discrepancia entre las variables numRealTxs y decoded_slots, lo que le permitió inyectar 31 espacios vacíos en la raíz de estado L2 a través de una prueba ZK, eludiendo así la verificación completa en la capa L1 del contrato . En total, el hacker construyó 14 pruebas de ZK-Rollup, pero fueron las últimas siete las que drenaron metódicamente cada tipo de activo diferente del contrato en transacciones separadas
.
Lo que hace único este incidente es que la hemorragia de fondos era estructuralmente imparable por diseño. Aztec Connect fue oficialmente retirado en marzo de 2023, y se ofreció a los usuarios un plazo de más de un año para retirar sus fondos . Pero el equipo fue más allá en 2024: renunció deliberadamente a todas las llaves administrativas y a cualquier tipo de control sobre el sistema. Los contratos se volvieron completamente inmutables: sin mecanismo de actualización, sin dueño y, de forma crítica, sin función de pausa
.
"Aztec Connect fue deprecado hace 3 años. Aztec Labs no posee llaves de administración ni control sobre el sistema; no puede ser pausado ni actualizado", declaró el equipo en X (antes Twitter) horas después del exploit, confirmando el movimiento de los fondos y la incapacidad total de actuar . Subrayaron que la red actual de Aztec y su token ERC-20 AZTEC no se vieron afectados, pero también reconocieron que ya no existía mecanismo alguno para recuperar el dinero perdido
.
A pesar de la extensa ventana de retiro y de la comunicación sobre el cierre, en el momento del ataque aún quedaban atrapados aproximadamente $2.1 millones en activos residuales de usuarios dentro de los contratos obsoletos . Ese dinero existía en una especie de limbo: nadie podía recuperarlo legítimamente sin interactuar con el rollup abandonado, y nadie podía intervenir cuando se activó la vulnerabilidad.
El exploit de Aztec Connect es la ilustración perfecta del problema de los "contratos zombi" en DeFi. Los contratos inteligentes inmutables no desaparecen simplemente cuando un proyecto cierra sus puertas; persisten en la blockchain con la lógica —y el valor— que contienen, a menudo reteniendo activos de forma indefinida . Cuando se renuncia a las llaves de administrador en busca de una descentralización total, el contrato se transforma en un anzuelo digital permanente e imposible de parchear. Cualquier vulnerabilidad no descubierta se convierte en una bomba de tiempo que puede detonarse años después sin la más mínima posibilidad de reacción
.
Se trata de un riesgo asimétrico. Los proyectos que renuncian al control ganan credibilidad al demostrar que no tienen puertas traseras, pero son los usuarios que no retiraron sus fondos a tiempo quienes asumen todo el costo. El caso de Aztec demuestra que, incluso después de tres años, pueden quedar millones de dólares atrapados en un contrato que todos creían muerto.
La lección para cualquier equipo de DeFi que planee retirar un protocolo es contundente. Antes de renunciar a las llaves administrativas, los proyectos deben forzar la finalización de todos los retiros o implementar un mecanismo de emergencia con bloqueo temporal que funcione sin control administrativo a largo plazo. Sin esas salvaguardas, los contratos abandonados pero inmutables se convierten en un imán para atacantes dispuestos a buscar fallas que jamás podrán ser corregidas.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
El 14 de junio de 2026, un fallo en un contrato inmutable de Aztec Connect permitió a un atacante drenar entre 2.1 y 2.19 millones de dólares en ETH, DAI y otros tokens, tres años después del cierre oficial del protoc...
El 14 de junio de 2026, un fallo en un contrato inmutable de Aztec Connect permitió a un atacante drenar entre 2.1 y 2.19 millones de dólares en ETH, DAI y otros tokens, tres años después del cierre oficial del protoc... El exploit abusó de una discrepancia en la verificación de pruebas ZK del contrato RollupProcessorV3; firmas como CertiK y SlowMist confirmaron que las instrucciones de retiro no se validaban por completo.
Como Aztec Labs eliminó voluntariamente todas las llaves administrativas en 2024, nadie pudo pausar, parchear o revertir el robo, convirtiendo al contrato en un 'zombi' que amenazará permanentemente cualquier fondo re...
Loading comments...
Comments
0 comments