基于Stacks区块链的去中心化金融协议ALEX,在6日经历了一场惊心动魄的黑客风波。一个看似不起眼的self-listing逻辑漏洞,让攻击者轻易撬走了约837万美元的资金。好在,ALEX Lab基金会反应迅速,第一时间宣布将动用国库,对受影响用户进行全额赔偿。
黑客利用漏洞盗取近840万美元
这次攻击的核心,直指ALEX协议中self-listing机制的设计缺陷。攻击者正是抓住了这个逻辑上的“暗门”,绕过正常验证流程,从多个资产池中直接抽取资金。损失清单清晰得让人心疼:840万枚STX(约569万美元)、21.85枚sBTC(约224万美元)、149,850枚USDC/USDT(约14.98万美元),以及2.80枚WBTC/BTC(约28.74万美元)。发现攻击后,ALEX平台立即按下暂停键,停止所有服务控制事态,随即展开调查。
ALEX基金会承诺全额赔偿并公布方案
到了6月7日,ALEX Lab基金会拿出了明确的赔偿方案,承诺以USDC全额赔偿用户损失。具体怎么赔?金额将根据2025年6月6日18:00至22:00间的链上汇率平均值计算。基金会还划出了清晰的时间线:所有受影响的钱&包地址将在2025年6月9日7:59(UTC)前收到通知和索赔表单,用户需要在6月11日7:59(UTC)前提交,确认后USDC会在7个工作日内发放到位。
安全专家剖析
慢雾科技的创始人余弦对这一漏洞进行了深入剖析。他直言,问题核心在于协议未对失败交易进行兼容验证。“这次攻击巧妙地利用了self-listing机制中的逻辑缺陷,攻击者成功绕过了正常验证流程,直接转移了流动性池中的资金,”余弦指出,“这类逻辑漏洞比简单的程序错误更难被常规审计发现。”
值得注意的是,这并非ALEX协议第一次出事——去年它曾因私钥泄露导致百万美元级损失。更值得警惕的是,攻击发生前三周,Clarity Alliance的安全审查报告就已经点名了ALEX Lab的几个中低风险漏洞,包括流动性代币合规性问题和移除流动性时缺少最低金额检查。可惜,这些警告似乎并未被及时吸纳处理,最终酿成了这次近千万美元的惨痛教训。
