Menurut laporan dari platform keamanan blockchain CertiK pada 14 Mei, jembatan protokol Alex di jaringan BNB Smart Chain mengalami penarikan mencurigakan sebesar $4,3 juta setelah peningkatan kontrak secara tiba-tiba.
Alex adalah protokol lapisan-2 untuk Bitcoin, yang menawarkan aplikasi keuangan terdesentralisasi di jaringan Bitcoin. Jembatannya memfasilitasi transfer aset dari jaringan seperti BNB Smart Chain dan Ethereum ke jaringannya sendiri.
Data Blockchain mengungkapkan bahwa akun penyebar Alex mengeksekusi lima peningkatan identik ke kontrak āBridge Endpointā di BNB Smart Chain mulai pukul 15:56 UTC. Hal ini mengakibatkan penghapusan Binance-Pegged Bitcoin (BTC), USD Coin (USDC), dan Sugar Kingdom Odyssey (SKO) senilai sekitar $4,3 juta dari sisi jembatan BNB Smart Chain.
CertiK menyarankan bahwa peristiwa tersebut mungkin mengindikasikan "kemungkinan kompromi kunci pribadi" karena pemutakhiran dilakukan oleh akun deployer protokol. Transaksi pemutakhiran mengubah alamat implementasi menjadi alamat yang diakhiri dengan 7058, yang berisi bytecode yang belum diverifikasi, sehingga tidak dapat dibaca.
Sekitar 48 menit setelah pemutakhiran ini dimulai, alamat proksi untuk kontrak jembatan tersebut menjalankan fungsi yang belum diverifikasi pada alamat yang diakhiri dengan 4848E. Akibatnya, 16 BTC ($983.000 pada harga saat ini), 2,7 juta SKO ($75.000), dan USDC senilai $3,3 juta ditransfer ke alamat yang diakhiri dengan 484E.
Ada indikasi bahwa penyerang mungkin menargetkan dana di jaringan lain. Pada pukul 17.41, tak lama setelah pemutakhiran mencurigakan di BNB Smart Chain, pemutakhiran serupa dilakukan di Ethereum. Dalam hal ini, deployer memutakhirkan "alamat artis" ke kontrak yang tidak terverifikasi. Setelah ini, akun yang diakhiri dengan 05ed mencoba dua kali penarikan dari "alamat tim", yang keduanya gagal dengan kesalahan "bukan pemilik".
Akun 05ed tidak memiliki aktivitas sebelumnya sebelum 10 Mei, sehingga menciptakan satu kontrak yang tidak terverifikasi pada tanggal tersebut dan dua kontrak lagi pada 14 Mei, yang menunjukkan bahwa akun tersebut mungkin dikendalikan oleh pengguna jahat.
Hingga laporan ini diterbitkan, tim Alex belum mengonfirmasi eksploitasi tersebut atau mengeluarkan pernyataan apa pun terkait insiden tersebut.
Jembatan Alex bukan satu-satunya protokol yang menghadapi potensi eksploitasi pada bulan Mei. Pada tanggal 13 Mei, bursa terdesentralisasi Equalizer melaporkan hilangnya lebih dari 2.000 token karena penyerang menyedotnya dalam jumlah kecil selama beberapa hari. Selain itu, peretasan Gnus.ai pada tanggal 6 Mei mengakibatkan kerugian sebesar $1,27 juta.
