El reciente drenaje de más de 2,1 millones de dólares de Aztec Connect, un protocolo de finanzas descentralizadas (DeFi) inactivo en Ethereum, subraya una vulnerabilidad crítica que acecha en el ecosistema blockchain. El incidente, confirmado por Aztec Labs y previamente reportado por la firma de seguridad BlockSec, ocurrió el 14 de junio, evidenciando cómo los ‘Contratos Inactivos’ o abandonados pueden transformarse en blancos lucrativos para ciberdelincuentes.
Aztec Connect, concebido como un puente de privacidad para Ethereum utilizando tecnología de conocimiento cero (zk-SNARKs), cesó sus operaciones en marzo de 2023. Sin embargo, su contrato ‘RollupProcessorV3’ seguía custodiando fondos de usuarios que no los habían retirado, un hecho agravado por la decisión de Aztec Labs de renunciar formalmente a sus llaves de administrador en 2024. Esta acción, que hizo el contrato completamente inmutable, paradójicamente impidió cualquier intervención para corregir posibles fallas de seguridad, una dicotomía inherente a la promesa de descentralización y la realidad de los riesgos operativos.
La raíz del ataque, según el análisis de BlockSec y ExVul, residió en una falla de control de acceso dentro de la función ‘processRollup()’. Este mecanismo vital, diseñado para verificar tanto la autorización del remitente como la activación de una vía de escape de emergencia, no implementó correctamente ninguna de las dos condiciones. En esencia, el sistema validaba la prueba criptográfica matemáticamente consistente, pero ignoraba por completo la identidad o los permisos de quien la presentaba, creando un vector de ataque directo y elemental que fue explotado con precisión.
La naturaleza del botín, que incluyó 909 ETH, 270.000 DAI y 167 wstETH, refleja la diversificación de activos que suelen almacenarse en estos protocolos, incluso cuando están en desuso. Este tipo de incidentes no solo representan una pérdida económica significativa, sino que también socavan la confianza en la seguridad de los activos digitales y la promesa de un sistema financiero más transparente y resistente a la censura. La complejidad de las transacciones en blockchain, si bien ofrece un registro inmutable, también puede ocultar la magnitud y la intrincada logística de estos robos.
El caso de Aztec Connect no es un evento aislado, sino que se enmarca en un patrón creciente de explotaciones de contratos antiguos. Un precedente notable fue el incidente del protocolo Noda, también drenado por una falla en la verificación de firmas que nunca fue subsanada. Ambos escenarios evidencian un problema sistémico: la falta de caducidad en las aprobaciones de tokens por parte de los usuarios, lo que permite a contratos obsoletos mantener acceso a fondos, independientemente del estado de actividad del protocolo o de las medidas de protección implementadas por hardware wallets.
Una dimensión preocupante en esta ecuación es el rol cada vez más prominente de la inteligencia artificial. Expertos señalan que los atacantes están empleando modelos de IA para escanear y detectar vulnerabilidades en contratos antiguos de Ethereum a una escala que supera con creces las capacidades humanas. Esta hipótesis, de confirmarse plenamente, transformaría los contratos ‘olvidados’ de un riesgo disperso a un objetivo sistemático y altamente eficiente para los ciberdelincuentes, acelerando la frecuencia y el impacto de estos incidentes de seguridad.
La paradoja tecnológica se profundiza al considerar que la IA, aunque capaz de identificar fallos, también puede ser una fuente de nuevas vulnerabilidades. El protocolo Moonwell sufrió una pérdida de 1,7 millones de dólares en febrero de 2025 debido a un error en un contrato desarrollado con asistencia de IA, que pasó desapercibido en todas las revisiones humanas. Este dilema, entre código legado sin mantenimiento y nuevas implementaciones asistidas por algoritmos, plantea interrogantes fundamentales sobre cuántas otras vulnerabilidades críticas podrían estar latentes, esperando ser descubiertas o explotadas en el vasto y complejo universo de Ethereum.
Si le ha parecido interesante este análisis, le invitamos a compartirlo y a dejar su opinión en los comentarios.