アレックス・プロトコル・ブリッジがハッキングされ、430万ドルを損失

CertiK のレポートによると、BNB スマート チェーン上の Alex プロトコル ブリッジは、不審なアップグレード後に 430 万ドルの攻撃を受けました。プロトコルのデプロイヤによって実行されるアップグレードにより、ネットワーク全体に資産が転送されました。同様に、イーサリアムのアレックスブリッジもアップグレードされ、不明なアカウントが出金を試みました。アレックスチームはまだ返答していない。

Alex Protocol Bridge Hack: $4.3 Million Exploited in Suspicious Withdrawals

アレックス・プロトコル・ブリッジのハッキング: 不審な出金で430万ドル悪用

On May 14th, the blockchain security platform CertiK reported a major security breach involving the Alex protocol bridge on the BNB Smart Chain network, resulting in malicious withdrawals totaling $4.3 million.

5 月 14 日、ブロックチェーン セキュリティ プラットフォーム CertiK は、BNB スマート チェーン ネットワーク上の Alex プロトコル ブリッジに関わる大規模なセキュリティ侵害を報告し、その結果、総額 430 万ドルの悪意のある引き出しが発生しました。

Alex, a Bitcoin layer-2 protocol, facilitates decentralized finance applications on the Bitcoin network. Its bridges serve as gateways for transferring assets between Bitcoin and other blockchain networks, such as BNB Smart Chain and Ethereum.

Alex は、ビットコインのレイヤー 2 プロトコルであり、ビットコイン ネットワーク上の分散型金融アプリケーションを容易にします。そのブリッジは、ビットコインと、BNB スマート チェーンやイーサリアムなどの他のブロックチェーン ネットワークの間で資産を転送するためのゲートウェイとして機能します。

Blockchain data analysis reveals that the Alex deployer account executed five identical upgrades to the "Bridge Endpoint" contract on BNB Smart Chain starting at 3:56 pm UTC. Following these upgrades, approximately $4.3 million worth of Binance-Pegged Bitcoin (BTCUSD), USD Coin (USDCUSD), and Sugar Kingdom Odyssey (SKO) tokens were siphoned from the bridge's BNB Smart Chain side.

ブロックチェーン データ分析により、Alex デプロイヤ アカウントが、UTC 午後 3 時 56 分に開始して、BNB スマート チェーン上の「ブリッジ エンドポイント」コントラクトに対して 5 つの同一のアップグレードを実行したことが明らかになりました。これらのアップグレードに続いて、約 430 万ドル相当のバイナンスペッグ ビットコイン (BTCUSD)、USD コイン (USDCUSD)、およびシュガー キングダム オデッセイ (SKO) トークンが橋の BNB スマート チェーン側から吸い上げられました。

CertiK's investigation suggests that the incident was likely orchestrated through a "possible private key compromise," as the upgrades were initiated by the protocol's deployer account.

CertiK の調査によると、アップグレードはプロトコルのデプロイヤ アカウントによって開始されたため、このインシデントは「秘密鍵侵害の可能性」を通じて組織された可能性が高いと考えられています。

The upgrade transaction modified the implementation address to one ending in 7058. This new implementation comprised unverified bytecode, rendering it unreadable to humans.

アップグレード トランザクションにより、実装アドレスが 7058 で終わるアドレスに変更されました。この新しい実装には未検証のバイトコードが含まれており、人間が読み取ることができませんでした。

Approximately 48 minutes after the initiation of these upgrades, the proxy address for the bridge contract invoked an unverified function on an address ending in 4848E. This resulted in the transfer of 16 BTC ($983,000 at current prices), 2.7 million SKO ($75,000), and $3.3 million worth of USDC to the 484E address at 4:44 pm.

これらのアップグレードの開始から約 48 分後、ブリッジ コントラクトのプロキシ アドレスが、4848E で終わるアドレスで未検証の関数を呼び出しました。これにより、午後 4 時 44 分に 16 BTC (現在の価格で 98 万 3,000 ドル)、270 万 SKO (7 万 5,000 ドル)、および 330 万ドル相当の USDC が 484E アドレスに送金されました。

The attacker's intentions may extend beyond the BNB Smart Chain network. At 5:41 pm, shortly after the suspicious upgrade on BNB Smart Chain, a similar series of Alex upgrades occurred on Ethereum. In this instance, the deployer upgraded the "artist address" to an unverified contract. Immediately afterward, an account ending in 05ed attempted to withdraw funds from the "team address." However, these withdrawals failed, eliciting a "not owner" error.

攻撃者の意図は、BNB スマート チェーン ネットワークを超えて広がる可能性があります。 BNBスマートチェーンでの不審なアップグレードの直後の午後5時41分に、同様の一連のAlexアップグレードがイーサリアムで発生しました。この例では、デプロイヤは「アーティスト アドレス」を未確認の契約にアップグレードしました。その直後、05edで終わる口座が「チームアドレス」から資金を引き出そうとした。ただし、これらの出金は失敗し、「所有者ではありません」エラーが発生しました。

The 05ed account, with no prior transaction history before May 10th, has since created three unverified contracts, raising concerns that it might be controlled by a malicious actor.

05ed アカウントは 5 月 10 日以前に取引履歴がなく、その後 3 件の未確認の契約を作成しており、悪意のある攻撃者によって制御されているのではないかとの懸念が生じています。

As of the time of publication, the Alex team has not publicly acknowledged the exploit or provided any official statement regarding the incident.

この記事の公開時点では、Alex チームはこの悪用を公に認めておらず、この事件に関する公式声明も発表していません。

The Alex bridge hack is not an isolated event. In recent weeks, several other protocols have fallen victim to potential exploits. On May 13th, decentralized exchange Equalizer reported the theft of over 2,000 of its native tokens, which were gradually siphoned off in small increments over several days. Moreover, the Gnus.ai hack on May 6th resulted in losses exceeding $1.27 million.

アレックス・ブリッジのハッキングは孤立した出来事ではありません。ここ数週間で、他のいくつかのプロトコルが潜在的なエクスプロイトの被害に遭いました。 5月13日、分散型取引所イコライザーは2,000以上のネイティブトークンの盗難を報告し、数日間かけて少しずつ吸い上げられた。さらに、5 月 6 日の Gnus.ai のハッキングでは、127 万ドルを超える損失が発生しました。

These incidents highlight the growing prevalence of security breaches in the burgeoning decentralized finance ecosystem. It is imperative that protocol developers prioritize robust security measures and conduct thorough audits to minimize the risk of exploits and protect user funds.

これらの事件は、急成長する分散型金融エコシステムにおけるセキュリティ侵害の蔓延を浮き彫りにしています。プロトコル開発者は、強固なセキュリティ対策を優先し、徹底的な監査を実施してエクスプロイトのリスクを最小限に抑え、ユーザーの資金を保護することが不可欠です。