Alex Protocol Bridge a été piraté, perdant 4,3 millions de dollars

Le pont de protocole Alex sur BNB Smart Chain a subi une attaque de 4,3 millions de dollars après une mise à niveau suspecte, selon un rapport CertiK. La mise à niveau, effectuée par le déployeur du protocole, a transféré les actifs entre les réseaux. De même, le pont Alex sur Ethereum a subi une mise à niveau, avec un compte inconnu tentant des retraits. L'équipe Alex n'a pas encore répondu.

Alex Protocol Bridge Hack: $4.3 Million Exploited in Suspicious Withdrawals

Alex Protocol Bridge Hack : 4,3 millions de dollars exploités lors de retraits suspects

On May 14th, the blockchain security platform CertiK reported a major security breach involving the Alex protocol bridge on the BNB Smart Chain network, resulting in malicious withdrawals totaling $4.3 million.

Le 14 mai, la plateforme de sécurité blockchain CertiK a signalé une faille de sécurité majeure impliquant le pont de protocole Alex sur le réseau BNB Smart Chain, entraînant des retraits malveillants totalisant 4,3 millions de dollars.

Alex, a Bitcoin layer-2 protocol, facilitates decentralized finance applications on the Bitcoin network. Its bridges serve as gateways for transferring assets between Bitcoin and other blockchain networks, such as BNB Smart Chain and Ethereum.

Alex, un protocole Bitcoin de couche 2, facilite les applications financières décentralisées sur le réseau Bitcoin. Ses ponts servent de passerelles pour transférer des actifs entre Bitcoin et d’autres réseaux blockchain, tels que BNB Smart Chain et Ethereum.

Blockchain data analysis reveals that the Alex deployer account executed five identical upgrades to the "Bridge Endpoint" contract on BNB Smart Chain starting at 3:56 pm UTC. Following these upgrades, approximately $4.3 million worth of Binance-Pegged Bitcoin (BTCUSD), USD Coin (USDCUSD), and Sugar Kingdom Odyssey (SKO) tokens were siphoned from the bridge's BNB Smart Chain side.

L'analyse des données de la blockchain révèle que le compte du déployeur Alex a exécuté cinq mises à niveau identiques du contrat « Bridge Endpoint » sur BNB Smart Chain à partir de 15 h 56 UTC. À la suite de ces mises à niveau, environ 4,3 millions de dollars de jetons Binance-Pegged Bitcoin (BTCUSD), USD Coin (USDCUSD) et Sugar Kingdom Odyssey (SKO) ont été siphonnés du côté BNB Smart Chain du pont.

CertiK's investigation suggests that the incident was likely orchestrated through a "possible private key compromise," as the upgrades were initiated by the protocol's deployer account.

L'enquête de CertiK suggère que l'incident a probablement été orchestré par une « possible compromission de clé privée », car les mises à niveau ont été initiées par le compte du déployeur du protocole.

The upgrade transaction modified the implementation address to one ending in 7058. This new implementation comprised unverified bytecode, rendering it unreadable to humans.

La transaction de mise à niveau a modifié l'adresse d'implémentation en une adresse se terminant par 7058. Cette nouvelle implémentation comprenait un bytecode non vérifié, le rendant illisible pour les humains.

Approximately 48 minutes after the initiation of these upgrades, the proxy address for the bridge contract invoked an unverified function on an address ending in 4848E. This resulted in the transfer of 16 BTC ($983,000 at current prices), 2.7 million SKO ($75,000), and $3.3 million worth of USDC to the 484E address at 4:44 pm.

Environ 48 minutes après le lancement de ces mises à niveau, l'adresse proxy du contrat de pont a invoqué une fonction non vérifiée sur une adresse se terminant par 4848E. Cela a entraîné le transfert de 16 BTC (983 000 $ aux prix actuels), 2,7 millions de SKO (75 000 $) et 3,3 millions de dollars d'USDC à l'adresse 484E à 16 h 44.

The attacker's intentions may extend beyond the BNB Smart Chain network. At 5:41 pm, shortly after the suspicious upgrade on BNB Smart Chain, a similar series of Alex upgrades occurred on Ethereum. In this instance, the deployer upgraded the "artist address" to an unverified contract. Immediately afterward, an account ending in 05ed attempted to withdraw funds from the "team address." However, these withdrawals failed, eliciting a "not owner" error.

Les intentions de l'attaquant peuvent s'étendre au-delà du réseau BNB Smart Chain. À 17 h 41, peu de temps après la mise à niveau suspecte sur BNB Smart Chain, une série similaire de mises à niveau d'Alex s'est produite sur Ethereum. Dans ce cas, le déployeur a mis à niveau « l’adresse de l’artiste » vers un contrat non vérifié. Immédiatement après, un compte se terminant par 05ed a tenté de retirer des fonds de « l'adresse de l'équipe ». Cependant, ces retraits ont échoué, provoquant une erreur « non propriétaire ».

The 05ed account, with no prior transaction history before May 10th, has since created three unverified contracts, raising concerns that it might be controlled by a malicious actor.

Le compte 05ed, sans historique de transactions avant le 10 mai, a depuis créé trois contrats non vérifiés, ce qui fait craindre qu'il ne soit contrôlé par un acteur malveillant.

As of the time of publication, the Alex team has not publicly acknowledged the exploit or provided any official statement regarding the incident.

Au moment de la publication, l'équipe Alex n'a pas reconnu publiquement l'exploit ni fourni de déclaration officielle concernant l'incident.

The Alex bridge hack is not an isolated event. In recent weeks, several other protocols have fallen victim to potential exploits. On May 13th, decentralized exchange Equalizer reported the theft of over 2,000 of its native tokens, which were gradually siphoned off in small increments over several days. Moreover, the Gnus.ai hack on May 6th resulted in losses exceeding $1.27 million.

Le piratage du pont Alex n’est pas un événement isolé. Ces dernières semaines, plusieurs autres protocoles ont été victimes d’exploits potentiels. Le 13 mai, l'échange décentralisé Equalizer a signalé le vol de plus de 2 000 de ses jetons natifs, qui ont été progressivement siphonnés par petites étapes sur plusieurs jours. De plus, le piratage de Gnus.ai le 6 mai a entraîné des pertes dépassant 1,27 million de dollars.

These incidents highlight the growing prevalence of security breaches in the burgeoning decentralized finance ecosystem. It is imperative that protocol developers prioritize robust security measures and conduct thorough audits to minimize the risk of exploits and protect user funds.

Ces incidents mettent en évidence la prévalence croissante des failles de sécurité dans l’écosystème financier décentralisé en plein essor. Il est impératif que les développeurs de protocoles donnent la priorité à des mesures de sécurité robustes et effectuent des audits approfondis pour minimiser les risques d'exploitation et protéger les fonds des utilisateurs.