Pe 14 iunie 2026, cineva a golit de aproximativ 2,1 milioane de dolari un contract inteligent pe care nimeni nu îl mai supraveghea de aproape trei ani. Platforma se numea Aztec Connect, fusese închisă oficial în martie 2023, iar codul ei rămăsese pe blockchain ca o cameră încuiată căreia i se pierduse cheia. Banii erau încă acolo, lăsați cândva de utilizatori care uitaseră să îi retragă. Tocmai pentru că nimeni nu îi mai atingea, păreau în siguranță.
Atacul s-a produs în jurul orei 12:26 UTC, la blocul 25.315.715 de pe Ethereum, și a lovit un contract numit RollupProcessorV3. Cifra exactă diferă ușor de la un analist la altul, în funcție de cum au fost evaluate activele, însă valoarea confirmată și de dezvoltatori se apropie de 2,19 milioane de dolari. Pentru o platformă pe care piața o trecuse demult la capitolul închis, pierderea a fost cât se poate de reală.
Cum a fost golit un contract pe care nimeni nu îl mai păzea
Atacatorul nu a spart nimic în înțelesul obișnuit al cuvântului. Nu a ghicit vreo parolă, nu a furat o cheie privată, nu a păcălit pe nimeni să semneze ceva. A găsit, în schimb, o nepotrivire de logică în felul în care contractul își verifica propriile operațiuni, apoi a apăsat pe acea slăbiciune de șapte ori la rând.
Firma de securitate BlockSec a arătat că problema stătea în decalajul dintre modul în care platforma valida tranzacțiile și modul în care le deconta efectiv pe Ethereum. Tranzacțiile confirmate în contract nu erau legate strâns de setul impus de dovada criptografică. Altfel spus, mecanismul care confirma că o operațiune e corectă și mecanismul care muta banii citeau aceeași listă în două feluri diferite.
Incidentul a fost documentat pas cu pas de Cryptology.ro, publicația românească de știri și analize crypto, care a urmărit acest atac Aztec Connect și a explicat cum un simplu decalaj de interpretare a deschis o portiță reală. Atacatorul putea introduce tranzacții prin care contractul îi credita o valoare fără ca aceasta să fie validată pe lanț. Așa au apărut solduri pe care nimic real nu le susținea, niște balanțe fantomă care arătau ca depozite legitime, dar nu aveau nicio acoperire în spate.
Odată create, soldurile false puteau fi retrase prin procedura obișnuită, exact ca niște fonduri autentice. Trucul a fost reluat de șapte ori, pe șapte active diferite. La final lipseau din contract cam 909 unități de Ether, în jur de 270.000 de Dai, 167 de unități de wstETH și cantități mai mici din câteva tokenuri cu randament, între care yvDAI, yvWETH, LUSD și yvLUSD. Partea de Ether a cântărit cel mai mult în pierdere, undeva spre un milion și jumătate de dolari.
De ce conta potrivirea dintre dovadă și decontare
Ca să prinzi de ce o astfel de nepotrivire devine fatală, ajută să te uiți la ce promite, de fapt, un sistem construit ca Aztec. Ideea unui rollup cu dovezi cu cunoaștere zero e simplă în esență. O grămadă de tranzacții se execută în afara lanțului principal, iar pe Ethereum ajunge doar o dovadă matematică ce garantează că totul s-a petrecut corect. Lanțul nu reia fiecare pas, ci se bazează pe dovadă.
Încrederea ține numai dacă dovada și decontarea vorbesc despre exact aceeași listă de tranzacții. În clipa în care contractul decontează o listă, iar dovada confirmă alta, garanția se rupe pe tăcute. Din exterior totul pare în regulă, fiindcă fiecare piesă își face treaba corect luată separat. Defectul stă la cusătura dintre ele, acolo unde, de regulă, nimeni nu se mai uită. Pe acea cusătură a lucrat atacatorul, fără să se atingă de criptografie, care a rămas solidă.
De ce nimeni nu a putut opri atacul
Reacția companiei din spatele tehnologiei a fost rapidă și, în același timp, neputincioasă, iar contrastul ăsta spune mult despre natura incidentului. Aztec Labs a anunțat pe X că investighează un posibil atac și a confirmat transferul celor circa 2,1 milioane de dolari din contractul imuabil. În aceeași comunicare, echipa a ținut să lămurească un detaliu esențial. Nu deține chei de administrator și nu are niciun control asupra sistemului, care nu poate fi nici oprit, nici actualizat.
Precizarea nu e o scuză comodă, ci o descriere a situației tehnice reale. După închiderea platformei, contractele Aztec Connect au devenit complet imuabile. Nu mai puteau fi nici modificate, nici puse pe pauză. Codul rămăsese gravat în piatră, cu defecte cu tot, fără vreun buton de urgență la îndemâna cuiva.
Imuabilitatea nu e un accident. E o trăsătură căutată anume în finanțele descentralizate. Un contract pe care nimeni nu îl poate schimba este și un contract pe care nimeni nu îl poate confisca, cenzura sau sabota. Utilizatorii nu mai depind de bunăvoința unei echipe care, teoretic, le-ar putea bloca banii peste noapte. Regula e codul, iar codul nu se răzgândește.
Compromisul ascuns în spatele imuabilității
Aici se vede prețul filozofiei. Dacă nimeni nu poate atinge un contract ca să fure, atunci nimeni nu îl poate atinge nici ca să îl repare când iese ceva la iveală. Scutul care îi apără pe utilizatori în vremuri bune devine o cursă în momentul în care apare o eroare.
La un produs încă activ, o echipă ar fi putut, în multe arhitecturi, să suspende retragerile, să mute fondurile undeva sigur sau să publice rapid o corecție. Aztec Connect nu lăsa loc de așa ceva, fiindcă fusese gândit tocmai pentru a nu atârna de promptitudinea creatorilor lui. Când a venit atacul, dezvoltatorii au putut doar să se uite la transferurile care se derulau pe lanț, fără vreo cale legitimă de a interveni.
Ce a fost, de fapt, Aztec Connect
Pentru cine aude prima oară numele, merită o scurtă punere în context. Rețeaua Aztec este un layer-2 ridicat peste Ethereum, axat pe confidențialitate și pe dovezile cu cunoaștere zero. Spre deosebire de blockchainurile publice obișnuite, unde orice tranzacție e vizibilă pentru oricine, Aztec a fost gândită să permită operațiuni private, fără sume și adrese expuse la vedere.
Aztec Connect a fost versiunea anterioară a acestui ecosistem, lansată în 2022 ca o punte între lumea privată a rețelei și protocoalele publice de pe Ethereum. Ideea suna bine. Un utilizator putea folosi aplicații cunoscute păstrându-și totuși confidențialitatea, ceva ce lanțul de bază nu oferea nativ. O vreme a fost una dintre cele mai concrete încercări de a împăca intimitatea cu accesul la finanțele descentralizate.
În martie 2023, echipa a închis capitolul. Depozitele s-au oprit, iar resursele au migrat către o generație nouă a rețelei. Utilizatorii au fost sfătuiți de mai multe ori să își retragă fondurile rămase, fiindcă vechiul sistem urma să meargă doar pentru retrageri. Cei care nu au ascultat avertismentele sunt, foarte probabil, oamenii care au pierdut banii pe 14 iunie.
Un upgrade din 2024 fără audit schimbă povestea
Un amănunt scos la lumină de cercetători complică varianta simplă a contractului uitat. Deși Aztec Connect intrase în pensionare încă din 2023, contractul RollupProcessorV3 a fost actualizat în aprilie 2024. Potrivit BlockSec, acel upgrade nu ar fi trecut printr-un audit de securitate extern înainte să intre în funcțiune.
Detaliul mută discuția într-o altă zonă. O eroare strecurată într-un cod abandonat, dar niciodată atins, ar fi fost o poveste despre uitare. O eroare adusă printr-o modificare ulterioară, lipsită de verificare independentă, devine o poveste despre proces. Analiza pe lanț arată, în plus, că atacatorul a pornit de la o adresă alimentată anterior prin Tornado Cash, serviciul de amestecare folosit ca să se piardă urma banilor.
Pe componenta de planificare a insistat și Mihai Popa, analist și jurnalist crypto la Cryptology.ro, care a observat că un portofel nou și un contract auxiliar apăruseră cu puțin timp înainte de lovitură, semn al unei operațiuni pregătite cu răbdare, nu al unei întâmplări. Modul de execuție întărește impresia. Un atacator oportunist ar fi tras tot ce putea cât mai repede, fără bătaie de cap. Cel de duminică și-a construit din timp infrastructura, a testat mecanismul și a repetat exploatarea pe șapte active separate, fiecare cu particularitățile lui.
Auditul lipsă lasă în aer o întrebare incomodă pentru toată industria. Câte alte contracte considerate închise au primit, la un moment dat, mici ajustări care nu au mai trecut prin nicio verificare serioasă, tocmai fiindcă proiectul nu mai părea activ. Nimeni nu știe răspunsul exact, iar tocmai necunoscuta asta dă fiori.
Iunie 2026, o lună grea pentru securitatea DeFi
Incidentul nu a căzut pe un fond liniștit. După datele strânse de DeFiLlama, luna iunie adunase deja, la momentul atacului, furturi de aproape 44 de milioane de dolari, împrăștiate în cel puțin douăsprezece exploatări. Pe lângă cifrele astea, cele 2,1 milioane scoase din Aztec Connect par aproape mărunte, deși pentru utilizatorii loviți suma rămâne reală și dureroasă.
Vectorii de atac din ultimele săptămâni au fost surprinzător de variați. La Gravity Bridge totul a pornit de la furtul unei chei de semnătură, care a costat puntea aproape 5,4 milioane de dolari, în vreme ce la THORChain comunitatea a fost prinsă de un atac de 10 milioane de dolari care a declanșat un răspuns de urgență în toată rețeaua. Alteori problema a venit dintr-un cod livrat fără grijă, ca în cazul exploit-ului modulului Squid, ori dintr-o slăbiciune economică, precum la prăbușirea stablecoinului USR. Puse cap la cap, exemplele arată cât de multe uși are de păzit un protocol complex.
Firmele de securitate au reacționat și de această dată repede în a documenta totul. CertiK a publicat detalii despre activele scoase din contract, iar alți analiști on-chain au urmărit traseul fondurilor mutate printr-un portofel nou-creat. Monitorizarea nu poate opri un atac în plină desfășurare, dar oferă o radiografie aproape instantanee a ce s-a întâmplat, ceea ce ajută atât anchetele, cât și restul comunității să priceapă breșa.
Ce rămâne după ce o echipă își mută atenția în altă parte
Dincolo de cifre, cazul Aztec Connect transmite un avertisment pe care industria îl tot aude, fără să îl interiorizeze pe deplin. Un contract descentralizat nu dispare când echipa din spate pleacă în altă parte. Codul rămâne pe lanț, deschis oricui, atâta vreme cât ascunde valoare care merită extrasă. Liniștea creatorilor nu înseamnă siguranță, iar pericolul nu vine doar din contracte uitate, ci și din software-ul de zi cu zi, așa cum a dovedit recent un virus care fură portofele crypto direct de pe calculatoarele dezvoltatorilor.
Pentru utilizatorul obișnuit, învățătura practică e clară, chiar dacă incomodă. Când un proiect anunță închiderea și recomandă retragerea fondurilor, mesajul nu e o formalitate, ci probabil ultima fereastră în care îți poți scoate banii simplu și sigur. După ce un contract devine imuabil și părăsit, fiecare zi în care fondurile zac acolo înseamnă o expunere la un risc pe care nimeni nu îl mai gestionează.
Tensiunea dintre răspunderea juridică, practic inexistentă, și cea reputațională, foarte vie, rămâne una dintre dilemele nerezolvate ale finanțelor descentralizate. Aztec Labs a subliniat că atacul nu afectează rețeaua actuală, utilizatorii ei sau tokenul AZTEC, iar din punct de vedere tehnic separarea este corectă. Totuși, un produs lansat și promovat cândva de o echipă continuă să poarte numele acelei echipe, oricât de imuabil ar fi devenit codul între timp, iar fiecare incident de acest fel readuce întrebarea responsabilității în prim-plan.
Întrebări frecvente despre atacul Aztec Connect
Ce a fost Aztec Connect și de ce a fost atacat tocmai acum?
Aztec Connect a fost o platformă de finanțe descentralizate lansată în 2022, gândită ca o punte între rețeaua privată Aztec și protocoalele publice de pe Ethereum. A fost închisă în martie 2023, însă contractul ei a rămas pe blockchain, imuabil și cu fonduri înăuntru. Atacul a devenit posibil chiar pentru că acel cod nu mai putea fi reparat de nimeni, iar o eroare de logică a putut fi exploatată ani mai târziu.
Cât a fost furat în atacul Aztec Connect?
Pierderea totală se situează între 2,1 și 2,19 milioane de dolari, în funcție de sursa care a evaluat activele. Atacatorul a scos cam 909 ETH, aproape 270.000 DAI, 167 wstETH și cantități mai mici de tokenuri cu randament precum yvDAI, yvWETH, LUSD și yvLUSD.
Cum a reușit atacatorul să golească contractul?
A exploatat o nepotrivire între felul în care contractul verifica tranzacțiile și felul în care le deconta pe Ethereum. Diferența de interpretare i-a permis să fabrice solduri neacoperite, balanțe fără valoare reală în spate, pe care apoi le-a retras prin procedura obișnuită, repetând trucul de șapte ori.
De ce nu a oprit nimeni atacul?
Contractul devenise complet imuabil după închiderea platformei din 2023. Aztec Labs nu deține chei de administrator și nu poate nici opri, nici actualiza sistemul, așa că orice intervenție în timpul atacului a fost imposibilă.
Este afectată rețeaua Aztec actuală sau tokenul AZTEC?
Nu. Atât Aztec Labs, cât și fundația din spatele proiectului au precizat că incidentul vizează exclusiv vechiul produs Aztec Connect și nu are legătură cu rețeaua de azi, cu utilizatorii ei sau cu tokenul AZTEC.
Ce lecție lasă acest atac pentru utilizatorii de DeFi?
Că un contract abandonat nu este un contract sigur. Atâta vreme cât conține fonduri, rămâne o țintă, chiar și după ani de inactivitate. Când un proiect anunță închiderea și recomandă retragerea banilor, acela este de obicei ultimul moment cu adevărat sigur pentru a o face.
