Alex Lab, một giao thức tài chính phi tập trung (DeFi) trên blockchain Stacks, đã xác nhận sẽ hoàn trả toàn bộ số tiền bị thiệt hại cho người dùng sau vụ khai thác 8,3 triệu USD vào thứ Sáu vừa qua. Sự việc này diễn ra khi giá trị token gốc của giao thức sụt giảm mạnh 45%.
Alex Lab Lần Thứ Hai “Dính Phốt” An Ninh
Giao thức DeFi trên Bitcoin, Alex Lab (được viết cách điệu là ALEX Lab), đã phải hứng chịu vụ khai thác lớn thứ hai chỉ trong hai năm. Một kẻ tấn công không xác định đã lợi dụng lỗ hổng trong logic lập trình của giao thức để rút 8,3 triệu USD bằng nhiều loại tiền điện tử khác nhau từ nền tảng này.
Giao thức dựa trên Stacks này đã thông báo trên X vào thứ Sáu rằng họ sẽ hoàn trả 100% cho người dùng bị ảnh hưởng bằng cách sử dụng quỹ từ kho bạc của mình. Người dùng sẽ được thông báo riêng, nhưng chỉ có thời hạn đến ngày 10 tháng 6 để hoàn tất biểu mẫu yêu cầu nhận tiền.
Alex Lab cho biết: “Kẻ tấn công đã khai thác một lỗ hổng trong logic xác minh ở chức năng tự niêm yết bằng cách tham chiếu một giao dịch không thành công, cho phép một token độc hại bỏ qua các kiểm tra và chuyển tiền từ các bể thanh khoản.” Giao thức cũng chỉ ra rằng: “Vấn đề cốt lõi xuất phát từ một hạn chế hiện tại trên chuỗi, cụ thể là việc không thể phát hiện các giao dịch không thành công trên Stacks một cách đáng tin cậy.“
Sau vụ khai thác, giá của token gốc $ALEX của Alex Lab đã giảm mạnh, khoảng 45% chỉ trong hai mươi bốn giờ, theo dữ liệu từ CoinGecko.
On June 6, 2025, ALEX Protocol was exploited via a flaw in the self-listing verification logic (an on-chain limitation on Stacks). As a result, the attacker drained several asset pools, with the breakdown of lost assets as follows:
— ALEX 🟧 No. 1 Bitcoin DeFi (@ALEXLabBTC) June 6, 2025
STX: 8,403,867.57 STX → $ 5,691,255.93
sBTC:…
Lịch Sử Bị Tấn Công Của Alex Lab
Alex Lab trước đây đã từng bị khai thác khoảng 4,3 triệu USD vào tháng 5 năm 2024, The Block đã đưa tin. Không phải do lỗ hổng smart contract, vụ khai thác đó xảy ra do các khóa riêng tư bị xâm phạm từ một cuộc tấn công phishing. Đây là một vector tấn công phổ biến của nhóm hacker Lazarus được nhà nước Triều Tiên hậu thuẫn, nhóm này đã bị giao thức đổ lỗi cho vụ hack.
Sau vụ hack đó, giao thức đã thuyết phục các sàn giao dịch tập trung đóng băng một số tiền bị đánh cắp, và sau đó phân phối doanh thu của giao thức để bồi thường cho người dùng bị ảnh hưởng, sau một cuộc bỏ phiếu từ DAO quản trị của giao thức. Tuy nhiên, không phải tất cả các sàn giao dịch đã hoàn trả tiền, theo một bản cập nhật gần đây.
Alex Protocol viết: “Cho đến nay, 8 trong số 15 CEX (sàn giao dịch tập trung) đã hoàn trả tiền, với các cuộc thảo luận đang diễn ra với 7 sàn giao dịch còn lại. Chúng tôi hy vọng sẽ có thêm các khoản thu hồi trong quý 2.”