Giao thức tài chính phi tập trung ALEX trên blockchain Stacks đã bị hacker tấn công vào ngày 6, do lỗ hổng logic tự niêm yết dẫn đến việc đánh cắp khoảng 8,37 triệu đô la. ALEX Lab Foundation đã nhanh chóng phản hồi, tuyên bố sẽ sử dụng ngân quỹ để bồi thường toàn bộ cho tất cả người dùng bị ảnh hưởng.
Hacker sử dụng lỗ hổng để đánh cắp gần 8,4 triệu đô la
Kẻ tấn công đã sử dụng lỗ hổng logic trong cơ chế tự niêm yết của giao thức ALEX để rút lượng lớn tài sản từ nhiều nhóm tài sản. Cụ thể, tổn thất bao gồm 8,4 triệu token STX (khoảng 5,69 triệu đô la), 21,85 sBTC (khoảng 2,24 triệu đô la), 149.850 USDC/USDT (khoảng 14,98 nghìn đô la) và 2,80 WBTC/BTC (khoảng 28,74 nghìn đô la). Sau khi phát hiện cuộc tấn công, nền tảng ALEX đã ngay lập tức tạm dừng tất cả các dịch vụ để kiểm soát thiệt hại và tiến hành điều tra.
ALEX Foundation cam kết bồi thường toàn bộ và công bố kế hoạch
ALEX Lab Foundation đã công bố kế hoạch bồi thường vào ngày 7 tháng 6, cam kết bồi thường toàn bộ thiệt hại của người dùng bằng USDC.
Số tiền bồi thường sẽ được tính dựa trên giá trị trung bình tỷ giá trên chuỗi từ 18:00 đến 22:00 ngày 6 tháng 6 năm 2025.
Quỹ cho biết, tất cả các địa chỉ ví bị ảnh hưởng sẽ nhận được thông báo và biểu mẫu yêu cầu bồi thường trước 7:59 (UTC) ngày 9 tháng 6 năm 2025, người dùng cần gửi trước 7:59 (UTC) ngày 11 tháng 6, USDC sẽ được gửi trong vòng 7 ngày làm việc sau khi xác nhận.
Chuyên gia an ninh phân tích
Nhà sáng lập SlowMist, ông Dư Huyền, chỉ ra rằng trọng tâm của lỗ hổng nằm ở việc giao thức không thực hiện xác thực tương thích cho các giao dịch thất bại. Ông cho biết:
「Cuộc tấn công này đã khéo léo lợi dụng các khuyết điểm logic trong cơ chế tự niêm yết, cho phép kẻ tấn công vượt qua quy trình xác thực thông thường và trực tiếp chuyển quỹ từ nhóm thanh khoản. Các lỗ hổng logic như thế này khó phát hiện hơn các lỗi chương trình đơn giản thông qua kiểm toán thông thường.」
Ông Dư Huyền cũng đề cập rằng giao thức ALEX đã từng bị mất hàng triệu đô la do lộ private key vào năm ngoái. Đáng chú ý là ba tuần trước cuộc tấn công, báo cáo kiểm tra an ninh của Clarity Alliance đã chỉ ra nhiều lỗ hổng rủi ro trung và thấp tại ALEX Lab, bao gồm vấn đề tuân thủ token thanh khoản và thiếu kiểm tra số lượng tối thiểu khi loại bỏ thanh khoản, nhưng các cảnh báo này dường như đã không được xử lý kịp thời.
