据全球知名的区块链安全平台CertiK于5月14日发布的安全报告指出,位于BNB智能链网络上的Alex协议桥在经历一次突如其来的合约升级后,竟然遭受了高达430万美元的可疑提款。

Alex,作为一个比特币第2层协议,据其官方网站所述,致力于为用户提供基于比特币的去中心化金融应用。而它所搭建的桥,则是为了便利地将资产从其他网络,如BNB智能链和以太坊,转移到其自身的网络上。

图片[1] - Alex桥疑遭升级攻击,BNB智能链损失430万美元

区块链上的相关数据明确显示,从世界标准时间下午3:56开始,Alex的部署者账户对BNB智能链上的“Bridge Endpoint”合约连续进行了五次内容完全相同的升级。令人震惊的是,紧接着约值430万美元的币安挂钩比特币、USDC以及Sugar Kingdom Odyssey(SKO)被迅速从桥的BNB智能链一侧转移走。

鉴于这次升级是由协议的部署者账户执行的,CertiK初步怀疑这可能是由于“私钥泄露”所导致的安全事件。

图片[2] - Alex桥疑遭升级攻击,BNB智能链损失430万美元

在升级交易中,实现地址被更改为一个以7058结尾的新地址,而这个新地址所对应的代码是未经验证的字节码,这意味着其内容对人类来说是不可读的。

升级操作完成后的大约48分钟,桥接合约的代理地址调用了一个以4848E结尾的地址上的未经验证的函数。在下午4:44,总计16 BTC(按当前市场价格计算,价值约为983,000美元)、270万个SKO(约值75,000美元)以及价值330万美元的USDC被迅速转移到484E这个地址上。

攻击者似乎并不满足,还试图耗尽其他网络上的资金。在下午5点41分,也就是BNB智能链上的可疑升级发生后的几分钟内,以太坊网络上也出现了Alex的连续升级操作。在此过程中,部署者将一个“艺术家地址”升级为了一个未经验证的合约。紧接着,一个以05ed结尾的账户试图从“团队地址”中提取资金,但这些提款尝试均告失败,系统返回了“非所有者”的错误信息。

值得注意的是,05ed这个账户在5月10日之前并没有任何交易记录。然而,在5月10日,它突然创建了一份未经验证的合约,并在5月14日再次创建了两份,这明显表明该账户可能已被恶意用户所控制。

截止目前,Alex团队尚未对此次安全漏洞或相关事件发表任何官方评论。

值得一提的是,Alex桥并不是5月份唯一面临潜在安全威胁的协议。就在几天前,去中心化交易所Equalizer也宣布,他们遭到了一名攻击者的多次小额盗窃,总计损失了2000多枚自家的代币。而在5月6日,Gnus.ai也遭遇黑客攻击,导致价值127万美元的损失。这一系列事件再次为区块链行业敲响了安全的警钟。