Alex bridge на BNB витрачено 4,3 мільйона доларів після підозрілого оновлення — Certik

Згідно зі звітом платформи безпеки блокчейнів CertiK від 14 травня, протокольний міст Alex у мережі BNB зазнав підозрілих вилучень на суму 4,3 мільйона доларів одразу після того, як його контракт було раптово оновлено.

Alex — це протокол рівня 2 біткойн. Згідно з офіційним веб-сайтом, він надає децентралізовані фінансові програми на біткойнах. Його мости використовуються для передачі активів з інших мереж, таких як BNB Smart Chain і Ethereum, до власної мережі.

Дані Blockchain підтверджують, що обліковий запис Alex deployer виконав п’ять ідентичних оновлень контракту «Bridge Endpoint» у BNB Smart Chain, починаючи з 15:56 UTC. Прив’язані до Binance біткойни (BTC), USD Coin (USDC) і Sugar Kingdom Odyssey (SKO) на суму приблизно 4,3 мільйона доларів згодом були вилучені зі сторони BNB Smart Chain.

Оскільки оновлення було виконано обліковим записом розгортача протоколу, Certik назвав подію «можливим компрометацією приватного ключа».

Транзакція оновлення змінила адресу реалізації на одну, що закінчується на 7058. Нова реалізація є неперевіреним байт-кодом, що робить її нечитабельною для людей.

Приблизно через 48 хвилин після початку цих оновлень проксі-адреса для мостового контракту викликала неперевірену функцію на адресі, що закінчується на 4848E. Це призвело до того, що о 16:44 на адресу 484E було переміщено 16 BTC ($983 000 за поточними цінами), 2,7 мільйона SKO ($75 000) і $3,3 мільйона стейблкоїнів USDC.

Зловмисник також може намагатися викачати кошти в інших мережах. О 17:41, через кілька хвилин після підозрілого оновлення на BNB Smart Chain, аналогічна серія оновлень Alex відбулася на Ethereum. У цьому випадку розробник оновив «адресу виконавця» до неперевіреного контракту. Відразу після цього обліковий запис, який закінчується на 05ed, спробував здійснити дві зняття з «адреси команди». Ці зняття не вдалося, через що виникла помилка «не власник».

Обліковий запис 05ed не мав історії до 10 травня. Він створив один неперевірений контракт 10 травня та ще два 14 травня, що вказує на те, що він може перебувати під контролем зловмисника.

На момент публікації команда Alex не підтвердила експлойт і не прокоментувала інцидент.

Міст Alex був не єдиним протоколом, який зіткнувся з потенційним експлойтом у травні.13 травня децентралізована біржа Equalizer оголосила, що втратила понад 2000 власних токенів від зловмисника, який викрадав їх невеликими порціями протягом кількох днів. Злом Gnus.ai 6 травня також призвів до збитків на 1,27 мільйона доларів.

За темою: CertiK виявив недолік безпеки на 5 мільйонів доларів у Wormhole bridge на Aptos