coinphony.com
Laut einem Bericht der Blockchain-Sicherheitsplattform CertiK vom 14. Mai kam es bei der Alex-Protokollbrücke im BNB-Netzwerk nach einer plötzlichen Vertragsaktualisierung zu verdächtigen Abhebungen in Höhe von 4,3 Millionen US-Dollar.
#CertiKInsight 🚨
Wir haben festgestellt, dass eine verdächtige Transaktion betroffen ist @ALEXLabBTC
Erste Hinweise deuten auf eine mögliche Kompromittierung des privaten Schlüssels hin.
Der Bereitsteller von 0xb3955302E58FFFdf2da247E999Cd9755f652b13b führt Upgrades auf eine verdächtige Implementierung durch.
Insgesamt wurden Vermögenswerte im Wert von ca. 4,3 Millionen US-Dollar… pic.twitter.com/02kiw2dFrm
– CertiK-Alarm (@CertiKAlert) 14. Mai 2024
Der Vorfall, den CertiK als „mögliche Kompromittierung privater Schlüssel“ bezeichnete, hat Bedenken hinsichtlich der Sicherheit der Brücken des Bitcoin-Layer-2-Protokolls geweckt. Zum Zeitpunkt des Verfassens dieses Artikels muss das Team von Alex den Exploit noch bestätigen.
Daten von BscScan zeigen, dass der Alex-Deployer fünf Upgrades des Bridge Endpoint-Vertrags der Plattform auf der BNB Smart Chain initiiert hat. Nach diesen Upgrades wurden Binance-Pegged Bitcoin (BTC), USD Coin (USDC) und Sugar Kingdom Odyssey (SKO) im Wert von etwa 4,3 Millionen US-Dollar von der BNB Smart Chain-Seite der Brücke entfernt.
Durch den Upgrade-Transaktionsaufruf wurde die Implementierungsadresse effektiv in einen nicht überprüften Bytecode geändert, sodass die Änderung für die menschliche Sprache unauffällig war.
Weitere Untersuchungen des 05ed-Kontos ergaben, dass es am 10. Mai einen unbestätigten Vertrag und am 14. Mai zwei weitere erstellt hatte, obwohl zuvor keine Aktivität stattgefunden hatte. Dieses verdächtige Verhalten deutet darauf hin, dass das Konto möglicherweise von einem böswilligen Akteur kontrolliert wird, der versucht, das Alex-Protokoll über mehrere Netzwerke hinweg auszunutzen.
Weniger als eine Stunde nach Beginn der Upgrades rief die Proxy-Adresse für den Bridge-Vertrag eine nicht verifizierte Funktion an einer anderen Adresse auf und übertrug 16 BTC (983.000 US-Dollar), 2,7 Millionen SKO (75.000 US-Dollar) und USDC im Wert von 3,3 Millionen US-Dollar. Kurz darauf versuchte ein Konto mit der Endung 05ed, das vor dem 10. Mai keine Transaktionshistorie hatte, zwei Abhebungen von der „Teamadresse“ vorzunehmen. Diese Auszahlungsversuche schlugen jedoch fehl und lösten die Fehlermeldung „Kein Eigentümer“ aus.
Laut CertiK ist es möglich, dass der Angreifer auch versucht hat, Gelder aus anderen Netzwerken abzuschöpfen, da ähnliche Upgrades für das Alex-Protokoll unmittelbar nach seinen ersten Änderungen auch auf Ethereum beobachtet wurden.