Alex Bridge na BNB je po podezřelém upgradu vyčerpán o 4,3 milionu dolarů — Certik

Podle zprávy ze 14. května od blockchainové bezpečnostní platformy CertiK utrpěl most protokolu Alex v síti BNB podezřelé výběry ve výši 4,3 milionu dolarů těsně poté, co byla jeho smlouva náhle upgradována.
Alex je bitcoinový protokol vrstvy 2. Podle svých oficiálních stránek poskytuje decentralizované finanční aplikace na bitcoinech. Jeho mosty se používají k převodu aktiv z jiných sítí, jako je BNB Smart Chain a Ethereum, do vlastní sítě.
Data blockchainu potvrzují, že účet nasazení Alex provedl pět identických upgradů smlouvy „Bridge Endpoint“ na BNB Smart Chain počínaje 15:56 UTC. Následně byly ze strany mostu BNB Smart Chain odstraněny bitcoiny Binance-Pegged (BTC), USD Coin (USDC) a Sugar Kingdom Odyssey (SKO) v hodnotě přibližně 4,3 milionu USD.
Protože upgrade provedl účet nasazení protokolu, Certik událost označil za „možné ohrožení soukromého klíče“.
Zdroj: CertiK
Transakce upgradu změnila implementační adresu na jednu končící na 7058. Nová implementace je neověřený bajtkód, takže je pro lidské bytosti nečitelný.
Asi 48 minut po zahájení těchto upgradů zavolala proxy adresa pro smlouvu o přemostění neověřenou funkci na adrese končící na 4848E. Výsledkem bylo v 16:44 přesunutí 16 BTC (983 000 $ v současných cenách), 2,7 milionu SKO (75 000 $) a 3,3 milionu USD v hodnotě USDC stablecoinů na adresu 484E.
Útočník se také může pokoušet vyčerpat prostředky z jiných sítí. V 17:41, jen pár minut po podezřelém upgradu na BNB Smart Chain, došlo k podobné sérii upgradů Alexe na Ethereu. V tomto případě implementátor upgradoval „adresu umělce“ na neověřenou smlouvu. Ihned poté se účet končící na 05ed pokusil provést dva výběry z „týmové adresy“. Tyto výběry selhaly a způsobily chybu „není vlastníkem“.
Účet 05ed neměl před 10. květnem žádnou historii. 10. května vytvořil jednu neověřenou smlouvu a 14. května další dvě, což naznačuje, že může být pod kontrolou uživatele se zlými úmysly.
V době zveřejnění, Alex tým nepotvrdil exploit ani nekomentoval incident.
Most Alex nebyl jediným protokolem, který v květnu čelil potenciálnímu zneužití. 13. května decentralizovaná burza Equalizer oznámila, že ztratila více než 2 000 vlastních tokenů od útočníka, který je v malých krocích během několika dní vysál. Hack Gnus.ai ze 6. května také způsobil ztráty ve výši 1,27 milionu dolarů.
Související: CertiK objevil bezpečnostní chybu ve výši 5 milionů $ v mostě Wormhole na Aptos
Prozkoumat více od tvůrce

Nejnovější zprávy
