基於 Stacks 區塊鏈的去中心化金融協議 ALEX,在 6 日遭受駭客攻擊,因 self-listing 邏輯漏洞導致約 837 萬美元資金被盜。ALEX Lab 基金會迅速回應,宣布將動用國庫全額賠償所有受影響用戶。
駭客利用漏洞盜取近 840 萬美元
攻擊者利用 ALEX 協議中 self-listing 機制的邏輯缺陷,從多個資產池提取了大量資金。具體損失包括 840 萬枚 STX (約 569 萬美元)、21.85 枚 sBTC (約 224 萬美元)、149,850 枚 USDC/USDT (約 14.98 萬美元) 以及 2.80 枚 WBTC/BTC (約 28.74 萬美元)。ALEX 平台在發現攻擊後已立即暫停所有服務以控制損害並展開調查。
ALEX 基金會承諾全額賠償並公佈方案
ALEX Lab 基金會於 6 月 7 日公佈賠償方案,承諾以 USDC 全額賠償用戶損失。
賠償金額將基於 2025 年 6 月 6 日 18:00 至 22:00 之間的鏈上匯率平均值計算。
基金會表示,所有受影響錢包地址將在 2025 年 6 月 9 日 7:59 (UTC) 前收到通知及索賠表單,用戶需在 6 月 11 日 7:59 (UTC) 前提交,USDC 將在確認後 7 個工作日內發送。
On June 6, 2025, ALEX Protocol was exploited via a flaw in the self-listing verification logic (an on-chain limitation on Stacks). As a result, the attacker drained several asset pools, with the breakdown of lost assets as follows:
STX: 8,403,867.57 STX → $ 5,691,255.93 sBTC:…
— ALEX 🟧 No. 1 Bitcoin DeFi (@ALEXLabBTC) June 6, 2025
安全專家剖析
慢霧科技 (SlowMist) 創始人余弦分析指出,漏洞核心在於協議未對失敗交易進行兼容驗證。他表示:
「此次攻擊巧妙地利用了 self-listing 機制中的邏輯缺陷,攻擊者能夠繞過正常的驗證流程,直接轉移流動性池中的資金。這類邏輯漏洞比簡單的程式錯誤更難被常規審計。」
余弦亦提及,ALEX 協議去年曾因私鑰洩露導致百萬美元級損失。值得注意的是,攻擊發生前三週,Clarity Alliance 的安全審查報告已指出 ALEX Lab 存在流動性代幣合規性及移除流動性時缺少最低金額檢查等多個中低風險漏洞,但這些警告似乎未獲及時處理。
📍相關報導📍
中國懸賞1萬人民幣通緝台灣「駭客軍團」,資安界噴笑:這金額塞牙縫?
半年竊21億美元!資安報告:駭客攻擊重心從智能合約轉向一般用戶,四招教你保護加密資產
幣託BitoPro回應駭客攻擊!5月轉移熱錢包遭竊,儲備充足完全不影響營運
