Une violation présumée d'Alex Bridge a entraîné la disparition de 4,3 millions de dollars

Le 14 mai, CertiK a signalé que 4,3 millions de dollars avaient été retirés du pont de protocole Alex basé sur BNB Smart Chain après une mise à niveau suspecte du contrat. La mise à niveau, exécutée par le compte de déploiement du protocole, impliquait le remplacement de l'adresse d'implémentation par un bytecode non vérifié. Par la suite, les fonds ont été transférés vers une adresse inconnue, suscitant des inquiétudes quant à une éventuelle compromission de la clé privée.

Alex Bridge Exploited for $4.3 Million in Suspicious Withdrawals

Alex Bridge exploité pour 4,3 millions de dollars lors de retraits suspects

May 14, 2023 - The Alex protocol bridge, a gateway connecting the Bitcoin layer-2 protocol to other networks, has fallen victim to a sophisticated exploit, resulting in the loss of approximately $4.3 million in digital assets.

14 mai 2023 – Le pont de protocole Alex, une passerelle reliant le protocole Bitcoin de couche 2 à d'autres réseaux, a été victime d'un exploit sophistiqué, entraînant la perte d'environ 4,3 millions de dollars d'actifs numériques.

Blockchain security platform CertiK released a report on May 14, detailing the incident that occurred just hours after the bridge's contract was mysteriously upgraded five times in rapid succession. The upgrades, initiated by the protocol's deployer account, raised immediate concerns of a potential private key compromise.

La plate-forme de sécurité Blockchain CertiK a publié un rapport le 14 mai, détaillant l'incident survenu quelques heures seulement après que le contrat du pont ait été mystérieusement mis à niveau cinq fois de suite. Les mises à niveau, initiées par le compte du déployeur du protocole, ont immédiatement soulevé des inquiétudes quant à une éventuelle compromission de la clé privée.

The new implementation address, ending in 7058, contained unverified bytecode, rendering it indecipherable to human readers. Within an hour of the upgrades, the proxy address for the bridge contract executed an unverified function on an address ending in 4848E. This action triggered the transfer of a substantial amount of Binance-Pegged Bitcoin (BTC), USD Coin (USDC), and Sugar Kingdom Odyssey (SKO) from the BNB Smart Chain leg of the bridge into the 484E address.

La nouvelle adresse d'implémentation, se terminant par 7058, contenait un bytecode non vérifié, le rendant indéchiffrable pour les lecteurs humains. Moins d'une heure après les mises à niveau, l'adresse proxy du contrat de pont a exécuté une fonction non vérifiée sur une adresse se terminant par 4848E. Cette action a déclenché le transfert d'une quantité substantielle de Binance-Pegged Bitcoin (BTC), USD Coin (USDC) et Sugar Kingdom Odyssey (SKO) de la jambe BNB Smart Chain du pont vers l'adresse 484E.

The attacker's motive appears to extend beyond the BNB Smart Chain network. At 5:41 pm UTC, minutes after the exploit on BNB Smart Chain, a similar series of upgrades occurred on Ethereum. The deployer upgraded the "artist address" to an unverified contract, followed by an attempt to withdraw funds from the "team address" by an account ending in 05ed. However, the withdrawal attempts failed, returning a "not owner" error.

Le motif de l’attaquant semble s’étendre au-delà du réseau BNB Smart Chain. À 17h41 UTC, quelques minutes après l'exploit sur BNB Smart Chain, une série similaire de mises à niveau s'est produite sur Ethereum. Le déployeur a mis à niveau « l'adresse de l'artiste » vers un contrat non vérifié, suivi d'une tentative de retrait de fonds de « l'adresse de l'équipe » par un compte se terminant par 05ed. Cependant, les tentatives de retrait ont échoué, renvoyant une erreur « non propriétaire ».

The 05ed account, which exhibited no activity before May 10, raised suspicions of malicious intent. Its creation of three unverified contracts within a short period suggested control by a malicious actor.

Le compte 05ed, qui ne présentait aucune activité avant le 10 mai, a fait naître des soupçons d'intention malveillante. La création de trois contrats non vérifiés dans un court laps de temps suggérait le contrôle d'un acteur malveillant.

At the time of this report's publication, the Alex team had yet to confirm the exploit or comment on the incident. The attack marks a growing trend of protocol exploits in the decentralized finance (DeFi) space, with Equalizer and Gnus.ai reporting losses exceeding $3.5 million combined in May alone.

Au moment de la publication de ce rapport, l'équipe d'Alex n'avait pas encore confirmé l'exploit ni commenté l'incident. L'attaque marque une tendance croissante d'exploits de protocole dans l'espace de la finance décentralisée (DeFi), Equalizer et Gnus.ai signalant des pertes combinées dépassant 3,5 millions de dollars rien qu'en mai.

The Alex bridge incident highlights the ongoing security risks associated with DeFi platforms and the need for robust security measures to protect user funds. CertiK's comprehensive investigation underscores the importance of thorough audits and regular security reviews to identify and mitigate potential vulnerabilities.

L'incident du pont Alex met en évidence les risques de sécurité persistants associés aux plateformes DeFi et la nécessité de mesures de sécurité robustes pour protéger les fonds des utilisateurs. L'enquête approfondie de CertiK souligne l'importance d'audits approfondis et d'examens de sécurité réguliers pour identifier et atténuer les vulnérabilités potentielles.

The incident serves as a stark reminder that the security of DeFi platforms is paramount, and users should exercise due diligence in selecting and interacting with protocols. Developers must prioritize the implementation of rigorous security protocols and transparency to instill trust and confidence among users.

L’incident nous rappelle brutalement que la sécurité des plateformes DeFi est primordiale et que les utilisateurs doivent faire preuve de diligence raisonnable dans la sélection et l’interaction avec les protocoles. Les développeurs doivent donner la priorité à la mise en œuvre de protocoles de sécurité rigoureux et à la transparence pour inspirer confiance aux utilisateurs.