Home » DeFi » Puente del protocolo Alex L2 sufre pérdidas de $4.3M tras actualizaciones sospechosas

Puente del protocolo Alex L2 sufre pérdidas de $4.3M tras actualizaciones sospechosas

por

May. 14, 2024

Es posible que el atacante también haya intentado drenar fondos de otras redes, informa CertiK.

El puente del protocolo Alex en la red BNB ha experimentado retiros sospechosos por valor de $4.3 millones tras una repentina actualización del contrato, según un informe de la plataforma de seguridad blockchain CertiK el 14 de mayo.

#CertiKInsight 🚨

We have seen a suspicious transaction affecting @ALEXLabBTC

Initial evidence points to a possible private key compromise.

Deployer of 0xb3955302E58FFFdf2da247E999Cd9755f652b13b upgrades to a suspicious implementation.

In total ~$4.3m worth of assets have… pic.twitter.com/02kiw2dFrm

— CertiK Alert (@CertiKAlert) May 14, 2024

El incidente, que CertiK ha denominado «un posible compromiso de clave privada», ha generado preocupaciones sobre la seguridad de los puentes del protocolo de segunda capa de Bitcoin. Al momento de redactar este informe, el equipo de Alex aún no ha confirmado el exploit.

Los datos de BscScan indican que el implementador de Alex inició cinco actualizaciones al contrato Bridge Endpoint en la BNB Smart Chain. Tras estas actualizaciones, se retiraron aproximadamente $4.3 millones en Bitcoin vinculado a Binance (BTC), USD Coin (USDC) y Sugar Kingdom Odyssey (SKO) del lado de la BNB Smart Chain del puente.

La llamada de transacción de actualización cambió efectivamente la dirección de implementación a un bytecode no verificado, haciendo que el cambio no fuera perceptible en lenguaje humano.

Una investigación más profunda sobre la cuenta 05ed reveló que había creado un contrato no verificado el 10 de mayo y dos más el 14 de mayo, a pesar de no tener actividad previa. Este comportamiento sospechoso sugiere que la cuenta podría estar controlada por un actor malicioso que intenta explotar el protocolo Alex en múltiples redes.

En menos de una hora después de que se iniciaron las actualizaciones, la dirección proxy para el contrato del puente llamó a una función no verificada en otra dirección, transfiriendo 16 BTC ($983,000), 2.7 millones de SKO ($75,000) y $3.3 millones en USDC. Poco después, una cuenta que terminaba en 05ed, que no tenía historial de transacciones antes del 10 de mayo, intentó realizar dos retiros de la «dirección del equipo». Sin embargo, estos intentos de retiro fallaron, desencadenando un mensaje de error «not owner».

Según CertiK, es posible que el atacante también haya intentado drenar fondos de otras redes, dado que se observaron actualizaciones similares para el protocolo Alex también en Ethereum justo después de sus cambios iniciales.

Aviso legal