Согласно отчету платформы безопасности блокчейна CertiK от 14 мая, мост протокола Alex в сети BNB пострадал от подозрительного вывода средств на сумму 4,3 миллиона долларов сразу после того, как его контракт был внезапно продлен.
Alex — это протокол Биткоина второго уровня. Согласно официальному сайту, он предоставляет приложения для децентрализованного финансирования на основе Биткоин. Его мосты используются для передачи активов из других сетей, таких как BNB Smart Chain и Ethereum, в собственную сеть.
Данные блокчейна подтверждают, что учетная запись развертывателя Alex выполнила пять идентичных обновлений контракта «Bridge Endpoint» в BNB Smart Chain, начиная с 15:56 по всемирному координированному времени. Впоследствии со стороны моста BNB Smart Chain были удалены привязанные к Binance Bitcoin (BTC), USD Coin (USDC) и Sugar Kingdom Odyssey (SKO) на сумму около 4,3 миллиона долларов.
Поскольку обновление было выполнено учетной записью развертывателя протокола, Certik назвал это событие «возможным компрометацией закрытого ключа».
Транзакция обновления изменила адрес реализации на адрес, заканчивающийся на 7058. Новая реализация представляет собой непроверенный байт-код, что делает его нечитаемым для людей.
Примерно через 48 минут после начала этих обновлений прокси-адрес мостового контракта вызвал непроверенную функцию по адресу, заканчивающемуся на 4848E. В результате в 16:44 на адрес 484E было перенесено 16 BTC (983 000 долларов США в текущих ценах), 2,7 миллиона SKO (75 000 долларов США) и стейблкоин USDC на сумму 3,3 миллиона долларов США.
Злоумышленник также может попытаться вывести средства из других сетей. В 17:41, всего через несколько минут после подозрительного обновления BNB Smart Chain, аналогичная серия обновлений Alex произошла на Ethereum. В этом случае разработчик обновил «адрес исполнителя» до непроверенного контракта. Сразу после этого аккаунт, заканчивающийся на 05ed, предпринял две попытки вывода средств с «адреса команды». Снятие средств не удалось, что привело к ошибке «не владелец».
Учетная запись 05ed не имела истории до 10 мая. Она создала один непроверенный контракт 10 мая и еще два 14 мая, что указывает на то, что она может находиться под контролем злонамеренного пользователя.
На момент публикации команда Алекса не подтвердила эксплойт и не прокомментировала инцидент.
Мост Алекса был не единственным протоколом, который столкнулся с потенциальной атакой в мае.13 мая децентрализованная биржа Equalizer объявила, что потеряла более 2000 собственных токенов из-за злоумышленника, который выкачивал их небольшими порциями в течение нескольких дней. Взлом Gnus.ai 6 мая также привел к убыткам на сумму 1,27 миллиона долларов.
Связанный: CertiK обнаружила брешь в безопасности на мосту через червоточину на Aptos стоимостью 5 миллионов долларов
