Theo báo cáo ngày 14 tháng 5 từ nền tảng bảo mật blockchain CertiK, cầu nối giao thức Alex trên mạng BNB đã phải chịu 4,3 triệu USD tiền rút đáng ngờ ngay sau khi hợp đồng của nó đột ngột được nâng cấp.

Alex là một giao thức lớp 2 của Bitcoin. Theo trang web chính thức của nó, nó cung cấp các ứng dụng tài chính phi tập trung trên Bitcoin. Các cầu nối của nó được sử dụng để chuyển tài sản từ các mạng khác, chẳng hạn như BNB Smart Chain và Ethereum, sang mạng riêng của nó.

Dữ liệu chuỗi khối xác nhận rằng tài khoản người triển khai Alex đã thực hiện năm nâng cấp giống hệt nhau đối với hợp đồng “Bridge Endpoint” trên BNB Smart Chain bắt đầu lúc 3:56 chiều UTC. Khoảng 4,3 triệu đô la Bitcoin được Binance-Pegged (BTC), USD Coin (USDC) và Sugar Kingdom Odyssey (SKO) sau đó đã bị xóa khỏi BNB Smart Chain của cây cầu.

Vì việc nâng cấp được thực hiện bởi tài khoản người triển khai của giao thức nên Certik đã gắn nhãn sự kiện này là “có thể xảy ra xâm phạm khóa riêng tư”.

Nguồn: CertiK

Giao dịch nâng cấp đã thay đổi địa chỉ triển khai thành địa chỉ kết thúc bằng 7058. Việc triển khai mới là mã byte chưa được xác minh, khiến con người không thể đọc được.

Khoảng 48 phút sau khi những nâng cấp này bắt đầu, địa chỉ proxy cho hợp đồng cầu nối đã gọi một chức năng chưa được xác minh trên địa chỉ kết thúc bằng 4848E. Điều này dẫn đến 16 BTC (983.000 đô la theo giá hiện tại), 2,7 triệu SKO (75.000 đô la) và 3,3 triệu đô la USDC stablecoin vào lúc 4:44 chiều, được chuyển đến địa chỉ 484E.

Kẻ tấn công cũng có thể đang cố gắng rút tiền trên các mạng khác. Vào lúc 5:41 chiều, chỉ vài phút sau đợt nâng cấp đáng ngờ trên BNB Smart Chain, một loạt nâng cấp tương tự của Alex đã xảy ra trên Ethereum. Trong trường hợp này, người triển khai đã nâng cấp “địa chỉ nghệ sĩ” thành một hợp đồng chưa được xác minh. Ngay sau đó, một tài khoản kết thúc bằng 05ed đã cố gắng thực hiện hai lần rút tiền từ “địa chỉ nhóm”. Những lần rút tiền này không thành công, tạo ra lỗi “không phải chủ sở hữu”.

Tài khoản 05ed không có lịch sử trước ngày 10 tháng 5. Nó đã tạo một hợp đồng chưa được xác minh vào ngày 10 tháng 5 và hai hợp đồng khác vào ngày 14 tháng 5, cho thấy rằng nó có thể nằm dưới sự kiểm soát của một người dùng độc hại.

Tại thời điểm công bố, nhóm Alex chưa xác nhận việc khai thác hay bình luận về vụ việc.

Cầu Alex không phải là giao thức duy nhất phải đối mặt với nguy cơ bị khai thác vào tháng 5. Vào ngày 13 tháng 5, sàn giao dịch phi tập trung Equalizer thông báo rằng họ đã mất hơn 2.000 token của chính mình từ kẻ tấn công, kẻ đã bòn rút chúng theo từng bước nhỏ trong vài ngày. Vụ hack Gnus.ai vào ngày 6 tháng 5 cũng gây thiệt hại 1,27 triệu USD.

Liên quan: CertiK phát hiện lỗ hổng bảo mật trị giá 5 triệu USD trên cầu Wormhole trên Aptos