Op 14 juni 2026 stelde een fout in een verlaten, volledig onveranderlijk Aztec Connect contract een aanvaller in staat om $2.1–$2.19 miljoen aan ETH, DAI, wstETH en andere tokens buit te maken, drie jaar na sluiting v... De aanval buitte een verificatiefout uit in de ZK rollup logica van het RollupProcessorV3 contra...

Create a landscape editorial hero image for this Studio Global article: What happened in the June 2025 exploit of the deprecated Aztec Connect protocol, including the attack method, the stolen assets and their va. Article summary: On **June 14, 2026**, an attacker exploited a **deprecated Aztec Connect smart contract** on Ethereum, draining approximately **$2.1–$2.19 million** in crypto assets. Aztec Labs had shut down Aztec Connect in March 2023 . Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "A deprecated zk-rollup bridge on Ethereum lost roughly 909 ETH, 270,000 DAI, and 167 wstETH after an attacker found a flaw in verification logic no one could patch. A smart contrac" source context "Aztec Connect's abandoned smart contract exploited for $2M three ..." Reference image 2: visual subject "# Aztec Con
Een sluimerend, afgedankt smart contract op Ethereum is uitgegroeid tot de nieuwste waarschuwing voor gedecentraliseerde financiën (DeFi). Op 14 juni 2026 slaagde een aanvaller erin om ongeveer $2.1 miljoen aan crypto-activa te stelen uit Aztec Connect, een op privacy gerichte ZK-rollup-brug die het team van Aztec Labs in maart 2023 al had uitgefaseerd . De inbraak was niet het gevolg van een kwetsbaarheid in een actief product, maar van een fout in een verlaten contract waaruit alle administratieve controle bewust was verwijderd. Het contract was daardoor voor altijd bevroren – en voor altijd kwetsbaar.
Beveiligingsbedrijf CertiK was de eerste die verdachte activiteit rapporteerde vanuit het RollupProcessorV3-contract, de kernrouter voor de verouderde rollup van Aztec Connect. Het adres van de aanvaller werd geïdentificeerd als 0x0f18d8b44a740272f0be4d08338d2b165b7edd17 . Het totale verlies werd door CertiK geschat op ongeveer $2.19 miljoen, terwijl Aztec Labs een bedrag van rond de $2.1 miljoen communiceerde
. De gestolen tegoeden bestonden onder meer uit circa 909 ETH, 270.000 DAI, 167 wstETH en extra Yearn vault-tokens zoals yvDAI, yvWETH en yvLUSD
.
De aanval richtte zich op de scheidslijn tussen de logica voor het verifiëren van zero-knowledge bewijzen en de verwerking van transacties op Ethereum's Layer 1. Volgens CertiK controleerde een van de verificatiefuncties van het contract slechts het begin van een ingediend bewijs, waardoor de parameters die werden gebruikt om tokenopnames te autoriseren nooit volledig werden gevalideerd . Dit stelde de aanvaller in staat een bewijs in te dienen dat de eerste controles doorstond, maar dieper in de gegevens kwaadaardige opname-instructies bevatte.
Een latere analyse van SlowMist wees op een hoofdoorzaak in het beperkte doorloopbereik van de L1-settlementlus binnen RollupV3. De aanvaller maakte misbruik van een discrepantie tussen numRealTxs en decoded_slots, waardoor via een ZK-bewijs 31 lege sleuven aan de L2 state-root konden worden toegevoegd, terwijl de volledige verificatie op L1-niveau werd omzeild . Uiteindelijk construeerde de aanvaller 14 ZK-rollup-bewijzen; de laatste zeven bewijzen onttrokken elk een ander type activa uit het contract in afzonderlijke transacties
.
Wat dit incident bijzonder maakt, is dat de aanval structureel onstopbaar was – per ontwerp. Aztec Connect werd in maart 2023 uitgefaseerd en gebruikers kregen meer dan een jaar de tijd om hun tegoeden op te nemen . In 2024 ging Aztec Labs nog een stap verder door vrijwillig alle beheerderssleutels en controle over het systeem op te geven. De contracten werden volledig onveranderlijk: geen updatemechanisme, geen eigenaar en – cruciaal – geen pauzefunctie
.
"Aztec Connect is 3 jaar geleden uitgefaseerd. Aztec Labs heeft geen beheerssleutels of controle over het systeem; het kan niet worden gepauzeerd of geüpgraded," verklaarde het team via X enkele uren na de hack, waarbij werd bevestigd dat er ongeveer $2.1 miljoen was weggevloeid uit het onveranderlijke contract . Ze benadrukten dat het huidige Aztec Network en de AZTEC ERC-20-token niet waren getroffen, maar erkenden dat er geen mogelijkheid was om de verloren fondsen terug te halen
.
Ondanks de ruime opnametermijn en de communicatie over de stillegging, zat er ten tijde van de aanval nog steeds voor ongeveer $2.1 miljoen aan resterende gebruikersactiva vast in de oude contracten . De tegoeden bevonden zich in een soort limbo: niemand kon ze legaal opnemen zonder interactie met de verouderde rollup, en niemand kon ingrijpen toen de kwetsbaarheid werd misbruikt.
De Aztec Connect-hack is een schoolvoorbeeld van het "zombiecontract"-probleem in gedecentraliseerde financiën. Onveranderlijke smart contracts verdwijnen niet simpelweg wanneer een project stopt. Ze blijven op de blockchain bestaan met hun logica – en waarde – intact, en kunnen gebruikersactiva voor onbepaalde tijd vasthouden. Wanneer beheerderssleutels worden opgegeven voor volledige decentralisatie, verandert het contract in een permanente, niet-patchbare honingpot. Elke onontdekte kwetsbaarheid wordt een tijdbom die jaren later kan ontploffen zonder enige verhaalsmogelijkheid .
Dit risico is asymmetrisch. Projecten die de controle opgeven, winnen aan geloofwaardigheid door het ontbreken van een achterdeur, maar gebruikers die nalaten op te nemen tijdens de overgangsperiode dragen het volledige neerwaartse risico. Het Aztec-voorbeeld toont aan dat zelfs na drie jaar nog miljoenen dollars vast kunnen zitten in een contract dat iedereen als dood beschouwde.
Voor DeFi-teams die een protocol willen uitfaseren, is de les hard. Voordat beheerssleutels worden opgegeven, moeten projecten ofwel alle opnames gedwongen voltooien of een op tijd gebaseerd noodmechanisme implementeren dat geen langdurig beheer vereist. Zonder dergelijke waarborgen zal een verlaten maar onveranderlijke infrastructuur onvermijdelijk aanvallers aantrekken die op zoek zijn naar fouten die nooit meer kunnen worden gerepareerd .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Op 14 juni 2026 stelde een fout in een verlaten, volledig onveranderlijk Aztec Connect contract een aanvaller in staat om $2.1–$2.19 miljoen aan ETH, DAI, wstETH en andere tokens buit te maken, drie jaar na sluiting v...
Op 14 juni 2026 stelde een fout in een verlaten, volledig onveranderlijk Aztec Connect contract een aanvaller in staat om $2.1–$2.19 miljoen aan ETH, DAI, wstETH en andere tokens buit te maken, drie jaar na sluiting v... De aanval buitte een verificatiefout uit in de ZK rollup logica van het RollupProcessorV3 contract, bevestigd door beveiligingsbedrijven CertiK en SlowMist.
Omdat Aztec Labs in 2024 bewust alle beheerderssleutels had verwijderd, kon niemand de aanval stoppen of terugdraaien, waardoor het contract een schoolvoorbeeld werd van een 'zombie' honeypot.
Loading comments...
Comments
0 comments