18 июня хакерexploited неиспользуемый смарт-контракт в L2-сети Aztec, похитив средства на сумму около $2,15 млн. Уязвимость была обнаружена в устаревшем платежном продукте Aztec Payments, который был закрыт еще в 2022 году, поэтому инцидент не затронул пользователей и активы актуальной сети. По данным исследователей, злоумышленник воспользовался ошибкой в логике проверки доказательств контракта PrivateRollupBridge, потратив на реализацию атаки всего 0,134 ETH (~$230). В результате было выведено 1158 ETH, 150 000 DAI и 0,47 renBTC.

Это уже второй инцидент безопасности в сети за последние дни: 14 июня хакеры опустошили другой устаревший контракт маршрутизатора, нанеся ущерб почти на $2,19 млн. Представители Aztec Labs подчеркнули, что они не владеют административными ключами и не контролируют систему, из-за чего команда не может заморозить контракты или выпустить обновление для остановки атаки. Первыми на взлом обратили внимание аналитики CertiK, после чего его подтвердила сама команда разработчиков.