14 Juni 2026, 12:26:23 PM UTC, Aztec Connect, protokol privacy Ethereum yang telah di-deprecate sejak 3 tahun lalu dan bersifat immutable, mengalami eksploitasi senilai total ~$2,1-2,19 juta. Insiden ini dikonfirmasi independen oleh dua firma security on-chain, CertiK Alert dan BlockSec Phalcon, dalam rentang waktu yang hampir bersamaan, serta diakui resmi oleh Aztec Foundation dan Aztec Labs melalui akun terverifikasi masing-masing.

Dana yang terkuras terdiri dari 908,987 ETH (~$1,51 juta) dan enam token ERC-20 (DAI, wstETH, yvDAI, yvWETH, LUSD, yvLUSD) senilai total ~$662 ribu, seluruhnya ditransfer ke address 0x0F18D8b44a740272f0be4d08338d2b165b7EdD17 yang kini dilabeli "Aztec Exploiter 1" oleh Etherscan. Wallet penyerang didanai gas awal 0,1 ETH dari Tornado Cash 7 jam sebelum eksekusi, kemudian men-deploy delapan smart contract secara burst, salah satunya digunakan sebagai perantara untuk memanggil fungsi custom yang memicu transfer dana dari contract Aztec Connect.

Aztec Foundation menegaskan secara resmi bahwa insiden ini tidak memiliki kaitan dengan smart contract token AZTEC (ERC-20) maupun Aztec Network yang sedang berjalan saat ini, Aztec Connect adalah produk lama yang terpisah.

Mekanisme teknis eksploitasi masih dalam investigasi oleh kedua firma security tersebut, dan hingga saat ini dana hasil eksploitasi belum berpindah dari address penyerang.

Referensi:

https://etherscan.io/address/0x0F18D8b44a740272f0be4d08338d2b165b7EdD17

https://etherscan.io/tx/0x074ec9317d8336db37e8c348fbdd7515573ff4088239c77ab429f522509aeeb1

https://x.com/aztecFND

https://www.weex.com/news/detail/certik-aztec-router-contract-suspected-of-being-attacked-approximately-219-million-in-assets-flowed-out-abnormally-jsewnat0t14g3xswejwioy60