Menurut laporan tanggal 14 Mei dari platform keamanan blockchain CertiK, jembatan protokol Alex di jaringan BNB mengalami penarikan mencurigakan sebesar $4,3 juta tepat setelah kontraknya tiba-tiba ditingkatkan.

Alex adalah protokol lapisan-2 Bitcoin. Menurut situs resminya, ia menyediakan aplikasi keuangan terdesentralisasi pada Bitcoin. Jembatannya digunakan untuk mentransfer aset dari jaringan lain, seperti BNB Smart Chain dan Ethereum, ke jaringannya sendiri.

Data Blockchain mengonfirmasi bahwa akun penyebar Alex melakukan lima peningkatan identik pada kontrak “Bridge Endpoint” di BNB Smart Chain mulai pukul 15:56 UTC. Binance-Pegged Bitcoin (BTC), USD Coin (USDC), dan Sugar Kingdom Odyssey (SKO) senilai sekitar $4,3 juta kemudian dihapus dari sisi jembatan BNB Smart Chain.

Karena pemutakhiran dilakukan oleh akun penyebar protokol, Certi menyebut peristiwa tersebut sebagai “kemungkinan penyusupan kunci pribadi.”

Sumber: CertiK

Transaksi pemutakhiran mengubah alamat implementasi menjadi alamat yang berakhiran 7058. Implementasi baru adalah bytecode yang belum diverifikasi, sehingga tidak dapat dibaca oleh manusia.

Sekitar 48 menit setelah pemutakhiran ini dimulai, alamat proksi untuk kontrak jembatan memanggil fungsi yang belum diverifikasi pada alamat yang diakhiri dengan 4848E. Hal ini menghasilkan 16 BTC ($983,000 dengan harga saat ini), 2.7 juta SKO ($75,000), dan stablecoin USDC senilai $3.3 juta pada pukul 16:44, dipindahkan ke alamat di 484E.

Penyerang mungkin juga mencoba menguras dana di jaringan lain. Pada pukul 17:41, hanya beberapa menit setelah peningkatan mencurigakan di BNB Smart Chain, serangkaian peningkatan Alex serupa terjadi di Ethereum. Dalam kasus ini, pihak yang menyebarkan meningkatkan “alamat artis” menjadi kontrak yang belum diverifikasi. Segera setelah itu, akun yang diakhiri dengan 05ed mencoba melakukan dua penarikan dari “alamat tim”. Penarikan ini gagal, menghasilkan kesalahan “bukan pemilik”.

Akun 05ed tidak memiliki riwayat sebelum 10 Mei. Akun tersebut membuat satu kontrak yang belum diverifikasi pada 10 Mei dan dua kontrak lagi pada 14 Mei, yang menunjukkan bahwa akun tersebut mungkin berada di bawah kendali pengguna jahat.

Pada saat publikasi, tim Alex belum mengkonfirmasi eksploitasi tersebut atau mengomentari insiden tersebut.

Jembatan Alex bukan satu-satunya protokol yang menghadapi potensi eksploitasi pada bulan Mei. Pada tanggal 13 Mei, bursa terdesentralisasi Equalizer mengumumkan bahwa mereka telah kehilangan lebih dari 2,000 tokennya sendiri dari penyerang yang menyedotnya sedikit demi sedikit selama beberapa hari. Peretasan Gnus.ai pada 6 Mei juga mengakibatkan kerugian sebesar $1,27 juta.

Terkait: CertiK menemukan kelemahan keamanan $5 juta di jembatan Wormhole di Aptos