基于 Stacks 区块链的 ALEX DeFi 协议因逻辑漏洞遭骇,损失近 840 万美元。ALEX 基金会迅速回应,承诺全额赔偿。
(前情提要:以太坊Pectra升级「骇客爽翻」,Wintermute警告:EIP-7702使大量合约部署自动化攻击 )
(背景补充:微策略开喷链上储备证明PoR,Michael Saylor:公开地址太愚蠢,让骇客易于狙击 )
本文目录
- 骇客利用漏洞盗取近 840 万美元
- ALEX 基金会承诺全额赔偿并公布方案
- 安全专家剖析
基于 Stacks 区块链的去中心化金融协议 ALEX,在 6 日遭受骇客攻击,因 self-listing 逻辑漏洞导致约 837 万美元资金被盗。ALEX Lab 基金会迅速回应,宣布将动用国库全额赔偿所有受影响用户。
骇客利用漏洞盗取近 840 万美元
攻击者利用 ALEX 协议中 self-listing 机制的逻辑缺陷,从多个资产池提取了大量资金。具体损失包括 840 万枚 STX (约 569 万美元)、21.85 枚 sBTC (约 224 万美元)、149,850 枚 USDC/USDT (约 14.98 万美元) 以及 2.80 枚 WBTC/BTC (约 28.74 万美元)。ALEX 平台在发现攻击后已立即暂停所有服务以控制损害并展开调查。
ALEX 基金会承诺全额赔偿并公布方案
ALEX Lab 基金会于 6 月 7 日公布赔偿方案,承诺以 USDC 全额赔偿用户损失。
赔偿金额将基于 2025 年 6 月 6 日 18:00 至 22:00 之间的链上汇率平均值计算。
基金会表示,所有受影响钱包地址将在 2025 年 6 月 9 日 7:59 (UTC) 前收到通知及索赔表单,用户需在 6 月 11 日 7:59 (UTC) 前提交,USDC 将在确认后 7 个工作日内发送。
On June 6, 2025, ALEX Protocol was exploited via a flaw in the self-listing verification logic (an on-chain limitation on Stacks). As a result, the attacker drained several asset pools, with the breakdown of lost assets as follows:
STX: 8,403,867.57 STX → $ 5,691,255.93
sBTC:…
— ALEX ? No. 1 Bitcoin DeFi (@ALEXLabBTC) June 6, 2025
安全专家剖析
慢雾科技 (SlowMist) 创始人余弦分析指出,漏洞核心在于协议未对失败交易进行兼容验证。他表示:
「此次攻击巧妙地利用了 self-listing 机制中的逻辑缺陷,攻击者能够绕过正常的验证流程,直接转移流动性池中的资金。这类逻辑漏洞比简单的程式错误更难被常规审计。」
余弦亦提及,ALEX 协议去年曾因私钥洩露导致百万美元级损失。值得注意的是,攻击发生前三週,Clarity Alliance 的安全审查报告已指出 ALEX Lab 存在流动性代币合规性及移除流动性时缺少最低金额检查等多个中低风险漏洞,但这些警告似乎未获及时处理。
