Moeda de privacidade Aztec contrato inteligente foi hackeado e roubado 2,19 milhões de dólares! SlowMist revela vulnerabilidade de "contornar liquidação"

Prova de Conhecimento Zero (ZK) redes privadas enfrentam nova crise de segurança. Segundo a conhecida equipa de segurança de blockchain SlowMist, um contrato Aztec Connect RollupProcessor obsoleto foi recentemente alvo de um ataque hacker. Os atacantes conseguiram explorar uma vulnerabilidade de "bypass do limite de liquidação" para criar uma divergência de estado, roubando loucamente até 2,19 milhões de dólares em ativos do protocolo.
(Antecedentes: hackers desbloquearam 1000 ETH bloqueados há 9 anos na ICO, recuperando-os com uma única ação de desbloqueio do contrato inteligente)
(Complemento de contexto: Anthropic anuncia a abertura total do supermodelo Claude Mythos em algumas semanas! IA de nível hacker prestes a ser liberada)

Uma das maiores organizações de segurança de blockchain do mundo, SlowMist, publicou hoje (15) em Taipei uma análise técnica detalhada. O relatório indica que um contrato inteligente obsoleto Aztec Connect RollupProcessor foi recentemente comprometido por hackers. Os atacantes, através de operações precisas, conseguiram contornar o limite de liquidação do sistema, levando a uma grave discrepância de estado entre a camada 1 (L1) e a camada 2 (L2), e assim roubar ativos criptográficos de valor aproximado de 2,19 milhões de dólares.

✍️ Análise Técnica Publicada: Análise do Roubo de Ativos de $2,19M do Aztec Connect

Um contrato obsoleto Aztec Connect RollupProcessor foi explorado através de uma vulnerabilidade de bypass do limite de liquidação, permitindo aos atacantes criar uma discrepância de estado L1/L2 e drenar… pic.twitter.com/w6SkUQXkhm

— SlowMist (@SlowMist_Team) 15 de junho de 2026

Uso indevido de parâmetros incompatíveis! Criando uma "discrepância de estado de duplo caminho" entre L1 e L2

O mais recente relatório da equipa de segurança SlowMist reconstruíu completamente o processo de execução deste ataque atomizado. A causa fundamental da vulnerabilidade reside na exploração maliciosa por parte do atacante de uma incompatibilidade entre os parâmetros-chave $numRealTxs$ e $decoded_slots$. Através desta vulnerabilidade, os hackers puderam, ao mesmo tempo, submeter provas de depósito falsificadas via ZK (prova de conhecimento zero), e durante a verificação de liquidação na L1, fazer com que esses depósitos se tornassem "invisíveis", criando assim com sucesso um "modelo de discrepância de estado de duplo caminho (Dual-path state divergence model)", e esvaziando os fundos do protocolo.

Especialistas em segurança criticam: o limite de liquidação deve estar estritamente alinhado com ZK

Este relatório técnico lança um alerta de segurança para as equipas de desenvolvimento de Rollup em todo o mundo. SlowMist enfatiza que este caso destaca um princípio de segurança fundamental para sistemas de Rollup: os limites de liquidação (settlement boundaries) devem estar sempre estritamente alinhados com o compromisso (commitment scope) das entradas públicas (public inputs) do ZK. Caso contrário, mesmo as provas matemáticas mais robustas não poderão evitar vulnerabilidades.

Este grave incidente de segurança também gerou intenso debate na comunidade de segurança de blockchain. Alguns especialistas criticaram publicamente, dizendo que "provas ZK não podem salvar uma arquitetura fraca". Fontes próximas revelaram que a plataforma de proteção criptográfica CoinStats já tinha marcado e alertado anteriormente sobre os riscos de segurança nesta fronteira de liquidação, mas a questão não foi levada a sério. Atualmente, o fluxo mais recente dos fundos na blockchain está sendo monitorado continuamente pelo sistema anti-lavagem de dinheiro da SlowMist.