Протокол децентрализованных финансов ALEX Lab, работающий на базе сети Stacks, стал жертвой новой хакерской атаки. 6 июня злоумышленники вывели $8,3 млн, воспользовавшись уязвимостью в логике верификации одного из смарт-контрактов. Через ссылку на старую неудавшуюся транзакцию хакеру удалось внедрить вредоносный токен и обойти защитные фильтры.

Команда проекта признала проблему и заявила о полной компенсации убытков пользователям. Для этого будут использованы средства из казначейства ALEX Lab. Каждый пострадавший получит уведомление и сможет подать заявку на возмещение до 10 июня.

Инцидент обострил старую проблему архитектуры сети Stacks — в ней отсутствует надёжная система отслеживания неудачных транзакций, что создает пространство для манипуляций.

Это уже вторая серьезная атака на ALEX Lab: в мае 2024 года из-за фишинговой атаки были украдены $4,3 млн. Тогда разработчики сумели заморозить часть средств с помощью CEX-бирж, но компенсационный процесс всё ещё продолжается.

Источник