Sektor zdecentralizowanych finansów (DeFi), pomimo swoich innowacyjnych obietnic, nadal boryka się z uporczywymi wyzwaniami w zakresie bezpieczeństwa, co zostało podkreślone przez niedawny poważny atak. Alex Protocol, wiodąca platforma DeFi działająca na blockchainie Stacks, stał się najnowszą ofiarą poważnego naruszenia bezpieczeństwa, co skutkowało utratą około 8,3 miliona dolarów w aktywach cyfrowych. Incydent ten stanowi kolejne krytyczne przypomnienie o lukach nieodłącznie związanych z szybko ewoluującym krajobrazem technologii blockchain.
Szczegóły niedawnego ataku
Atak na Alex Protocol miał miejsce 6 czerwca 2025 roku, wynikającego z krytycznej luki zidentyfikowanej w logice weryfikacji samodzielnego listingu platformy. Ta luka, opisana jako ograniczenie on-chain na Stacks, umożliwiła złośliwym podmiotom obejście protokołów bezpieczeństwa i opróżnienie różnych pul płynności. Skradzione aktywa obejmowały zdywersyfikowane portfolio, w tym znaczną ilość 8,4 miliona tokenów STX, 2,8 wrapped Bitcoin (wBTC) oraz blisko 150 000 dolarów w stablecoinach (USDC i USDT), a także ponad 21 Stacks Bitcoin. To naruszenie stanowi jeden z najważniejszych incydentów bezpieczeństwa odnotowanych w ekosystemie Stacks.
6 czerwca 2025 roku protokół ALEX został wykorzystany poprzez lukę w logice weryfikacji samodzielnego listingu (ograniczenie on-chain na Stacks). W rezultacie, atakujący opróżnił kilka pul aktywów, a podział utraconych aktywów przedstawia się następująco:
— ALEX 🟧 No. 1 Bitcoin DeFi (@ALEXLabBTC) June 6, 2025
STX: 8,403,867.57 STX → $ 5,691,255.93
sBTC:… June 6, 2025
Zobowiązanie do rekompensaty dla użytkowników
W odpowiedzi na naruszenie, Alex Lab Foundation szybko ogłosiła swoje niezachwiane zobowiązanie do pełnej rekompensaty dla wszystkich poszkodowanych użytkowników. Fundacja planuje wykorzystać własne rezerwy na pokrycie strat, a zwroty będą dokonywane w stablecoinach USDC. Kwota rekompensaty dla każdego poszkodowanego użytkownika zostanie precyzyjnie obliczona na podstawie średnich cen rynkowych skompromitowanych aktywów z dnia ataku.
Proces rekompensaty został jasno określony: poszkodowani użytkownicy otrzymają powiadomienie oraz spersonalizowany formularz roszczeniowy do 8 czerwca. Aby ułatwić terminowe przetwarzanie, te wypełnione formularze muszą zostać przesłane deweloperom do 10 czerwca 2025 roku. Alex Lab Foundation zobowiązała się do przetworzenia wszystkich wypłat w ciągu jednego tygodnia od weryfikacji złożonych roszczeń.
Historia luk: Poprzedni incydent
Ten niedawny atak nie jest pierwszym przypadkiem, kiedy Alex Protocol stanął w obliczu poważnego wyzwania bezpieczeństwa. Platforma doświadczyła wcześniej cyberataku w maju 2024 roku, który skutkował utratą 4,3 miliona dolarów. Tamten incydent został przypisany luce w moście cross-chainowym. Dochodzenia w sprawie naruszenia z maja 2024 roku szczególnie wskazywały na potencjalne zaangażowanie osławionej północnokoreańskiej grupy hakerskiej, Lazarus.
#CertiKInsight 🚨
— CertiK Alert (@CertiKAlert) May 14, 2024
Zaobserwowaliśmy podejrzaną transakcję dotyczącą @ALEXLabBTC
Wstępne dowody wskazują na możliwą kompromitację klucza prywatnego.
Deployer 0xb3955302E58FFFdf2da247E999Cd9755f652b13b uaktualnia do podejrzanej implementacji.
W sumie aktywa o wartości około 4,3 mln dolarów zostały… pic.twitter.com/02kiw2dFrm
Zarówno po incydencie z maja 2024 roku, jak i po niedawnym z czerwca 2025 roku, zespół Alex Protocol wykazał spójne podejście, angażując wiodące firmy analityczne do gruntownego zbadania naruszeń. Platforma zobowiązała się również do publikowania kompleksowych raportów technicznych, szczegółowo opisujących przyczyny źródłowe i strategie łagodzenia skutków każdego incydentu, mając na celu promowanie przejrzystości i poprawę środków bezpieczeństwa w przestrzeni DeFi. Incydenty te podkreślają ciągłą walkę z wyrafinowanymi zagrożeniami cybernetycznymi w domenie kryptowalut, gdzie zgłoszone straty z ataków hakerskich w samym maju zbliżyły się do 244 milionów dolarów w całej branży.