Alex Bridge de pe BNB este scurs de 4,3 milioane USD după o actualizare suspectă — Certik

Potrivit unui raport din 14 mai de la platforma de securitate blockchain CertiK, puntea de protocol Alex din rețeaua BNB a suferit retrageri suspecte de 4,3 milioane de dolari imediat după ce contractul său a fost actualizat brusc.
Alex este un protocol Bitcoin layer-2. Potrivit site-ului său oficial, oferă aplicații financiare descentralizate pe Bitcoin. Podurile sale sunt folosite pentru a transfera active din alte rețele, cum ar fi BNB Smart Chain și Ethereum, către propria sa rețea.
Datele blockchain confirmă că contul de deployer Alex a efectuat cinci upgrade-uri identice la contractul „Bridge Endpoint” pe BNB Smart Chain, începând cu ora 15:56 UTC. Aproximativ 4,3 milioane USD din Binance-Pegged Bitcoin (BTC), USD Coin (USDC) și Sugar Kingdom Odyssey (SKO) au fost ulterior eliminate din partea BNB Smart Chain a podului.
Deoarece upgrade-ul a fost efectuat de contul de implementare al protocolului, Certik a etichetat evenimentul „un posibil compromis al cheii private”.
Sursa: CertiK
Tranzacția de actualizare a schimbat adresa de implementare la una care se termină în 7058. Noua implementare este un bytecode neverificat, ceea ce o face imposibil de citit pentru ființe umane.
La aproximativ 48 de minute după începerea acestor upgrade-uri, adresa proxy pentru contractul bridge a numit o funcție neverificată pe o adresă care se termină cu 4848E. Acest lucru a dus la 16 BTC (983.000 USD la prețurile curente), 2,7 milioane SKO (75.000 USD) și 3,3 milioane USD de stablecoin USDC la ora 16:44, fiind mutate la adresa de la 484E.
Atacatorul poate încerca, de asemenea, să scurgă fonduri pe alte rețele. La 17:41, la doar câteva minute după upgrade-ul suspect pe BNB Smart Chain, a avut loc o serie similară de upgrade-uri Alex pe Ethereum. În acest caz, angajatorul a actualizat „adresa artistului” la un contract neverificat. Imediat după aceea, un cont care se termină în 05ed a încercat să facă două retrageri de la „adresa echipei”. Aceste retrageri au eșuat, producând o eroare „nu este proprietar”.
Contul 05ed nu avea istoric înainte de 10 mai. A creat un contract neverificat pe 10 mai și încă două pe 14 mai, ceea ce indică faptul că ar putea fi sub controlul unui utilizator rău intenționat.
La momentul publicării, echipa Alex nu a confirmat exploitul și nici nu a comentat incidentul.
Podul Alex nu a fost singurul protocol care s-a confruntat cu o potențială exploatare în luna mai. Pe 13 mai, schimbul descentralizat Equalizer a anunțat că a pierdut mai mult de 2.000 de jetoane proprii de la un atacator care le-a evacuat în trepte mici în mai multe zile. Hack-ul Gnus.ai din 6 mai a dus, de asemenea, la pierderi în valoare de 1,27 milioane de dolari.
Înrudit: CertiK a descoperit o defecțiune de securitate de 5 milioane USD în podul Wormhole de pe Aptos
Explorați mai multe de la acest creator

Ultimele știri
