기반 스택스(STX) 블록체인의 탈중앙화 금융 프로토콜 알렉스(ALEX)는 6일 해커 공격을 받아 셀프 리스팅 로직 취약점으로 인해 약 837만 달러의 자금이 절취되었습니다. 알렉스 랩(ALEX Lab) 기금회는 신속하게 대응하여 국고를 동원해 모든 피해 사용자에게 전액을 배상할 것을 선언했습니다.
해커가 취약점을 이용해 약 840만 달러 절취
공격자는 알렉스(ALEX) 프로토콜의 셀프 리스팅 메커니즘의 로직 결함을 이용해 여러 자산 풀에서 대량의 자금을 클레임했습니다. 구체적인 손실은 840만 개의 스택스(STX)(약 569만 달러), 21.85개의 sBTC(약 224만 달러), 149,850개의 USDC/테더 USDT(USDT)(약 14.98만 달러), 그리고 2.80개의 WBTC/비트코인(BTC)(약 28.74만 달러)을 포함합니다. 알렉스(ALEX) 플랫폼은 공격을 발견한 후 즉시 모든 서비스를 중단하여 피해를 통제하고 조사를 시작했습니다.
알렉스 랩(ALEX Lab) 기금회 전액 배상 및 방안 공개
알렉스 랩(ALEX Lab) 기금회는 6월 7일 배상 방안을 공개하고 USDC로 사용자 손실을 전액 배상할 것을 약속했습니다.
배상 금액은 2025년 6월 6일 18:00부터 22:00 사이의 온체인 환율 평균값을 기준으로 계산됩니다.
기금회는 모든 피해 지갑 주소에 2025년 6월 9일 7:59(UTC) 이전에 통지 및 클레임 양식을 보낼 것이며, 사용자는 6월 11일 7:59(UTC) 이전에 제출해야 하고 USDC는 확인 후 7일 이내에 발송됩니다.
보안 전문가 분석
슬로우 미스트(SlowMist) 창립자 위 쉰은 취약점의 핵심이 프로토콜이 실패한 거래에 대해 호환성 검증을 수행하지 않았다는 점이라고 분석했습니다. 그는 다음과 같이 말했습니다:
「이번 공격은 셀프 리스팅 메커니즘의 로직 결함을 교묘하게 이용했으며, 공격자는 정상적인 검증 프로세스를 우회하여 유동성 풀의 자금을 직접 이동할 수 있었습니다. 이러한 로직 취약점은 단순한 프로그램 오류보다 일반적인 감사로 발견하기 어렵습니다.」
위 쉰은 또한 알렉스(ALEX) 프로토콜이 작년에 개인키 유출로 인해 수백만 달러 규모의 손실을 입었다고 언급했습니다. 주목할 만한 점은 공격 발생 3주 전에 클래리티 얼라이언스의 보안 감사 보고서가 알렉스 랩(ALEX Lab)의 유동성 토큰 규정 준수 및 유동성 제거 시 최소 금액 검사 부재 등 여러 중저 리스크 취약점을 지적했지만, 이러한 경고는 적시에 처리되지 않은 것으로 보입니다.
