Пользователям ALEX Lab срочно нужно проверить кошельки: скрытый риск, о котором молчат разработчики

6 июня DeFi-протокол ALEX Lab, работающий на биткоин-L2 решении Stacks, пострадал от хакерской атаки. Злоумышленник вывел $8,3 млн, воспользовавшись уязвимостью в логике смарт-контрактов. Команда проекта заявила, что полностью компенсирует потери из собственного казначейства, но у пользователей есть лишь до 10 июня, чтобы подать заявку на возмещение.

Это уже второй инцидент за последние месяцы — в мае 2024 года из-за фишинга украли $4,3 млн. И если тогда часть средств удалось заморозить на биржах, то сейчас проблема оказалась глубже — уязвимость кроется в самой архитектуре Stacks.

Как хакер обманул систему?

Атака стала возможной из-за недостатков в отслеживании неудачных транзакций в сети Stacks. Злоумышленник добавил вредоносный токен, сославшись на ранее проваленную операцию, и смог обойти проверки, выведя средства из пулов ликвидности.

"Основная проблема — в текущих ограничениях Stacks, которые не позволяют надежно проверять такие транзакции", — пояснили в ALEX Lab.

Этот случай вновь поднимает вопрос безопасности L2-решений для биткоина. Stacks позиционируется как безопасная альтернатива Ethereum, но два взлома за год заставляют задуматься: действительно ли биткоин-децентрализация защищает DeFi?

Компенсация и скрытые риски

ALEX Lab оперативно отреагировала, пообещав вернуть все украденные средства. Однако есть нюансы:

• Токен ALEX за сутки упал на 17% (до $0,017), что говорит о панике инвесторов.
• Переговоры с биржами после майского взлома до сих пор не завершены — лишь 8 из 15 площадок вернули замороженные активы.
• Срок подачи заявок ограничен — до 10 июня, иначе пользователи могут остаться без компенсации.

Эксперты отмечают, что проблема может повториться, пока не будет устранена базовая уязвимость Stacks.

Что дальше?

ALEX Lab продолжает работать над безопасностью, но инцидент подрывает доверие к проекту. Если раньше взломы связывали с человеческим фактором (фишинг), то теперь уязвимость заложена в самом протоколе.

Пока пользователи ждут возврата средств, стоит задуматься: стоит ли доверять DeFi на биткоине, если даже L2-решения не защищены от атак?