Según un informe del 14 de mayo de la plataforma de seguridad blockchain CertiK, el puente del protocolo Alex en la crimson BNB sufrió retiros sospechosos por USD 4.3 millones justo después de que su contrato fuera actualizado repentinamente.
Alex es un protocolo de capa 2 de Bitcoin. Según su sitio world-wide-web oficial, proporciona aplicaciones de finanzas descentralizadas en Bitcoin. Sus puentes se utilizan para transferir activos desde otras redes, como BNB Good Chain y Ethereum, a su propia purple.
Los datos de la blockchain confirman que la cuenta del implementador de Alex realizó cinco actualizaciones idénticas al contrato “Bridge Endpoint” en BNB Smart Chain a partir de las 3:56 pm UTC. Aproximadamente USD 4.3 millones en Bitcoin vinculado a Binance (BTC), USD Coin (USDC) y Sugar Kingdom Odyssey (SKO) fueron posteriormente retirados del lado de BNB Intelligent Chain del puente.
Debido a que la actualización fue realizada por la cuenta del implementador del protocolo, Certik etiquetó el evento como “una posible violación de clave privada”.
La transacción de actualización cambió la dirección de implementación a una que termina en 7058. La nueva implementación es un código de bytes no verificado, lo que la hace ilegible para los seres humanos.
Aproximadamente 48 minutos después de que estas actualizaciones comenzaran, la dirección proxy para el contrato del puente llamó a una función no verificada en una dirección que termina en 4848E. Esto resultó en el traslado de 16 BTC (USD 983,000 a precios actuales), 2.7 millones de SKO (USD 75,000) y USD 3.3 millones en stablecoin USDC a la dirección en 484E a las 4:44 pm.
El atacante también puede estar intentando drenar fondos en otras redes. A las 5:41 pm, solo unos minutos después de la actualización sospechosa en BNB Intelligent Chain, una serie similar de actualizaciones de Alex ocurrió en Ethereum. En este caso, el implementador actualizó la “dirección del artista” a un contrato no verificado. Inmediatamente después, una cuenta que termina en 05ed intentó realizar dos retiros desde la “dirección del equipo”. Estos retiros fallaron, produciendo un mistake de “no propietario”.
La cuenta 05ed no tenía historial antes del 10 de mayo. Creó un contrato no verificado el 10 de mayo y dos más el 14 de mayo, lo que indica que podría estar bajo el control de un usuario malicioso.
Al momento de la publicación, el equipo de Alex no ha confirmado el exploit ni comentado sobre el incidente.
El puente Alex no fue el único protocolo que enfrentó un posible exploit en mayo. El 13 de mayo, el exchange descentralizado Equalizer anunció que había perdido más de 2,000 de sus propios tokens por un atacante que los desvió en pequeños incrementos durante varios días. El hackeo de Gnus.ai el 6 de mayo también resultó en pérdidas de USD 1.27 millones.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Noticias Blockchain. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto full invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.
