Em 14 de junho de 2026, uma falha em um contrato abandonado e totalmente imutável do Aztec Connect permitiu que um invasor drenasse entre US$ 2,1 e US$ 2,19 milhões em ETH, DAI, wstETH e outros tokens, três anos após... O exploit abusou de uma incompatibilidade na verificação das provas ZK do contrato RollupProcesso...

Create a landscape editorial hero image for this Studio Global article: What happened in the June 2025 exploit of the deprecated Aztec Connect protocol, including the attack method, the stolen assets and their va. Article summary: On **June 14, 2026**, an attacker exploited a **deprecated Aztec Connect smart contract** on Ethereum, draining approximately **$2.1–$2.19 million** in crypto assets. Aztec Labs had shut down Aztec Connect in March 2023 . Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "A deprecated zk-rollup bridge on Ethereum lost roughly 909 ETH, 270,000 DAI, and 167 wstETH after an attacker found a flaw in verification logic no one could patch. A smart contrac" source context "Aztec Connect's abandoned smart contract exploited for $2M three ..." Reference image 2: visual subject "# Aztec Con
Um smart contract adormecido e obsoleto na rede Ethereum acaba de se tornar o mais novo alerta para o mundo das finanças descentralizadas (DeFi). Em 14 de junho de 2026, um invasor drenou aproximadamente US$ 2,1 milhões em criptoativos do Aztec Connect, uma ponte focada em privacidade que a equipe da Aztec Labs havia desligado em março de 2023 . A violação não foi resultado de uma falha em um produto ativo, mas sim de uma vulnerabilidade em um contrato abandonado que havia sido deliberadamente despojado de todo controle administrativo, ficando para sempre congelado — e para sempre vulnerável.
A firma de segurança CertiK foi a primeira a sinalizar a atividade suspeita no contrato RollupProcessorV3, o roteador central do rollup descontinuado do Aztec Connect, identificando a carteira do invasor como 0x0f18d8b44a740272f0be4d08338d2b165b7edd17 . O prejuízo total foi estimado em cerca de US$ 2,19 milhões pela CertiK, enquanto a Aztec Labs citou um valor mais próximo de US$ 2,1 milhões
. Os ativos roubados incluíram cerca de 909 ETH, 270.000 DAI, 167 wstETH e tokens adicionais de cofres Yearn como yvDAI, yvWETH e yvLUSD
.
O exploit mirou a fronteira entre a lógica de verificação de provas de conhecimento zero (ZK-proofs) e o processamento de liquidação na camada 1 (L1) do Ethereum. De acordo com a CertiK, uma das funções de verificação do contrato verificava apenas o início de uma prova enviada, o que significa que os parâmetros usados para autorizar as transferências de tokens nunca eram totalmente validados . Isso permitiu que o invasor enviasse uma prova que passava pelas verificações iniciais, mas continha instruções maliciosas de saque na parte mais profunda dos dados.
A análise subsequente da SlowMist identificou a causa raiz nos limites de iteração do loop de liquidação da L1 dentro do RollupV3. O invasor explorou uma discrepância entre numRealTxs e decoded_slots, permitindo a submissão de 31 slots vazios para a raiz de estado da L2 (segunda camada) por meio de uma prova ZK, evitando a verificação completa na camada de contrato da L1 . No total, o invasor construiu 14 provas de ZK-rollup; as últimas sete provas drenaram cada uma um ativo diferente do contrato em transações separadas
.
O que torna este incidente único é que o ataque era estruturalmente imparável — por design. O Aztec Connect foi descontinuado em março de 2023, e os usuários tiveram mais de um ano para sacar seus fundos . Em 2024, a Aztec Labs foi além: renunciou deliberadamente a todas as chaves de administrador e ao controle sobre o sistema. Os contratos tornaram-se totalmente imutáveis: sem mecanismo de atualização, sem proprietário e, criticamente, sem função de pausa
.
"O Aztec Connect foi descontinuado há 3 anos. A Aztec Labs não possui chaves de administrador ou controle sobre o sistema; ele não pode ser pausado ou atualizado", declarou a equipe no X horas após o exploit, confirmando que aproximadamente US$ 2,1 milhões haviam sido movidos do contrato imutável . Eles enfatizaram que a rede atual Aztec Network e seu token ERC-20 AZTEC não foram afetados, mas reconheceram que não havia mecanismo para recuperar os fundos perdidos
.
Apesar da janela estendida para saques e da comunicação em torno do encerramento, aproximadamente US$ 2,1 milhões em ativos residuais de usuários permaneceram presos dentro dos contratos antigos no momento do ataque . Os fundos existiam em uma espécie de limbo: ninguém poderia recuperá-los legitimamente sem interagir com o rollup descontinuado, e ninguém poderia intervir quando a vulnerabilidade foi acionada.
O exploit do Aztec Connect é a ilustração perfeita do problema dos "contratos zumbis" nas finanças descentralizadas. Smart contracts imutáveis não simplesmente desaparecem quando um projeto é encerrado. Eles persistem na blockchain com toda a lógica — e o valor — que contêm, muitas vezes retendo ativos de usuários indefinidamente. Quando as chaves de administrador são renunciadas em busca da descentralização total, o contrato se torna um pote de mel (honeypot) permanente e incorrigível. Qualquer vulnerabilidade não descoberta torna-se uma bomba-relógio que pode ser detonada anos depois, sem qualquer possibilidade de recurso .
Este é um risco assimétrico. Projetos que renunciam ao controle ganham credibilidade por não terem um "backdoor" (porta dos fundos), mas os usuários que não realizam o saque durante as janelas de descontinuação arcam com todo o prejuízo. O caso da Aztec mostra que, mesmo após três anos, milhões de dólares podem permanecer presos em um contrato que todos presumiam estar morto.
Para as equipes DeFi que planejam descontinuar um protocolo, a lição é dura. Antes de renunciar às chaves de administrador, os projetos devem forçar a conclusão de todos os saques ou implementar um mecanismo de emergência baseado em temporizador (timelock) que não exija controle administrativo de longo prazo. Sem essas salvaguardas, infraestruturas abandonadas, mas imutáveis, inevitavelmente atrairão invasores dispostos a procurar por falhas que nunca poderão ser corrigidas .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Em 14 de junho de 2026, uma falha em um contrato abandonado e totalmente imutável do Aztec Connect permitiu que um invasor drenasse entre US$ 2,1 e US$ 2,19 milhões em ETH, DAI, wstETH e outros tokens, três anos após...
Em 14 de junho de 2026, uma falha em um contrato abandonado e totalmente imutável do Aztec Connect permitiu que um invasor drenasse entre US$ 2,1 e US$ 2,19 milhões em ETH, DAI, wstETH e outros tokens, três anos após... O exploit abusou de uma incompatibilidade na verificação das provas ZK do contrato RollupProcessorV3; as firmas de segurança CertiK e SlowMist confirmaram que a vulnerabilidade permitia saques sem a validação completa.
Como a Aztec Labs removeu deliberadamente todas as chaves de administrador em 2024, ninguém pôde pausar, corrigir ou reverter o ataque, transformando o contrato abandonado em um 'zumbi' que ameaçará permanentemente qu...
Loading comments...
Comments
0 comments