Puntos clave de la noticia:
- Aztec Network sufrió su segundo hackeo en menos de una semana: $2,15 millones fueron drenados de su Private Rollup Bridge.
- El exploit apuntó a la función escapeHatch del contrato RollupProcessorV3, manipulando parámetros para liberar fondos sin autorización.
- Con este incidente, los exploits a bridges en 2026 ya suman 14 casos y más de $340 millones en pérdidas acumuladas.
Aztec Network registró el jueves su segundo hackeo en menos de una semana. Luego de perder $2,2 millones el domingo pasado en Aztec Connect, el protocolo vio cómo su Private Rollup Bridge era vaciado y perdía aproximadamente $2,15 millones, distribuidos en 1.158 ETH, 150.000 DAI y 0,5 renBTC.
El primero en alertar sobre el incidente fue el investigador de seguridad Vishal Singh, quien identificó el vector de ataque: la función escapeHatch del contrato RollupProcessorV3. Esta función es un mecanismo de emergencia diseñado para que los usuarios puedan retirar activos directamente desde Ethereum cuando el rollup no está operativo.
We are investigating a potential exploit affecting a deprecated Aztec payments product from 2021. ~$2m was transferred from the immutable smart contract in transaction:https://t.co/FS4JoNnfiJ
The deprecated product is an immutable stage 2 rollup that was sunset in 2022.…
— Aztec Labs (@AztecLabs_) June 18, 2026
Yu Xian, fundador de la firma de seguridad SlowMist, documentó tres transacciones sospechosas que drenaron los fondos, y explicó que el atacante explotó ventanas en las que el hatch estaba «abierto» para manipular los parámetros proofId y publicOutput, forzando al contrato a liberar los activos custodiados.
Aztec Network reconoció ambos incidentes y subrayó en sus comunicaciones que los contratos afectados son «inmutables» y fueron deprecados en 2022 y 2023, lo que limita su capacidad de intervención directa.
Aztec Dice no Poder Actuar y el Patrón se Repite
La firma de seguridad BlockSec analizó los dos exploits de la semana y determinó que, si bien no son idénticos, ambos comparten la misma raíz técnica: problemas de vinculación de entradas públicas. Esto sugiere que hay una vulnerabilidad estructural en la forma en que los contratos antiguos de Aztec manejaban los parámetros de verificación de pruebas.
Esto ya es una tendencia preocupante para el ecosistema DeFi. Con este ataque, los exploits dirigidos a bridges suman ya 14 incidentes en el año, acumulando pérdidas totales que superan los $340 millones. La semana pasada, el hackeo al protocolo Verus había elevado ese marcador a $329 millones, mientras que el ataque a los pools de liquidez de Raydium había derivado en la pérdida de otros $1,3 millones.
La comunidad había anticipado un posible agravamiento del panorama con el lanzamiento del modelo Mythos de Anthropic, dada su potencial aplicación en ciberseguridad ofensiva. Sin embargo, los análisis posteriores al lanzamiento indicaron que las capacidades del modelo en esa área habían sido deliberadamente limitadas.
