В июне 2025 года протокол Alex Lab, работающий на блокчейне Stacks и известный как «финансовый слой Биткоина», стал жертвой серьезной хакерской атаки. Согласно заявлению проекта, было украдено $8,3 млн. Однако независимые эксперты из Halborn оценили реальный ущерб в $16,18 млн, указав на активы, не включённые в официальный отчет.
Хакерская схема строилась на уязвимости в системе контроля доступа к хранилищу токенов. Злоумышленник создал токен с названием ssl-labubu-672d3 и внедрил в него вредоносную функцию transfer. После этого был создан пул Labubu/STX и активирована функция set-approved-token, из-за чего вредоносный токен получил доступ к хранилищу протокола. Далее был изменён флаг set-enable-farming, активировавший вредоносную схему. Во время операций обмена контракт использовал встроенную команду as-contract, что позволило маскировать подлинного инициатора атаки и обходить защиту, выводя средства с адресов хранения.
Команда Alex Lab пообещала компенсировать пользователям потери в рамках официального списка, однако в него не вошли некоторые активы, включая aBTC и ALEX. Это и стало причиной разницы между оценками ущерба.
Эксперты считают, что уязвимость возникла из-за логической ошибки в правах доступа. Код, которым воспользовался злоумышленник, не попадал под аудит, что и позволило ему остаться незамеченным.
источник
уникальность
