AlexLab - Rekt



Otro día, otra clave privada comprometida.

AlexLab, la autoproclamada capa de finanzas en Bitcoin, tuvo algunas capas despojadas, cuando una clave privada comprometida condujo a un exploit de $4.3 millones en el puente XLink de AlexLab en la red BNB.

Certik Alert detectó una transacción sospechosa que afectaba a AlexLab el 14 de mayo, con evidencia inicial que apuntaba a una clave privada comprometida.
AlexLab no confirmó oficialmente el exploit hasta el día siguiente, donde declararon que los activos de Alex malversados fueron movidos por el explotador a intercambios principales, donde los activos fueron congelados por los intercambios.
Ofrecieron una recompensa equivalente al 10% de los fondos robados, con vencimiento el 18 de mayo a las 0800 UTC.

¿Por qué esperaron un día hasta que hicieron un anuncio oficial sobre el exploit?

Créditos: Certik, AlexLab, ImmuneBytes, Chain Aegis

El equipo de AlexLab se enteró de un exploit utilizando claves privadas comprometidas obtenidas a través de un ataque de phishing.

En su actualización oficial de seguridad, destacaron que el explotador llevó a cabo un ataque dirigido, tomando el control como administrador de una de las bóvedas asociadas con el pool de liquidez de ALEX.
Con las claves de la bóveda en la mano, el atacante se volvió loco, drenando aproximadamente 13.7 millones de STX de las arcas comprometidas.

Alrededor de 3 millones de esos STX robados fueron rápidamente enviados a varios exchanges centralizados en un intento descarado de hacer retirar efectivo.
El equipo de Alex se movilizó y logró recuperar todo el aBTC, sUSDT, xBTC, xUSD, ALEX, atALEX y un puñado de otros activos de la bóveda.

Sin embargo, un trozo considerable de ese botín de STX logró escapar de las manos de los exchanges antes de que pudieran congelar los fondos.

Según un análisis adicional de ImmuneBytes, la dirección del Deployer llevó a cabo cuatro actualizaciones maliciosas al contrato proxy asociado con AlexLabs.

Las actualizaciones hicieron que la dirección del contrato de punto final del puente cambiara a un código de bytes no verificado.

Dirección del atacante:
0x27055aE433E9DCb30f6EbCC1A374Cf5CC03C484E

En una hora después de la actualización, se hicieron los siguientes retiros bajo estas transacciones de ataque.

Transacción de Ataque 1:
0x94746d33792aeb27d2066b6d8f3c8a8c7410fe15c9500059f35e0b21c9bfb416

Transacción de Ataque 2:
0x47e123af93add709bc2516f6a5db057dfbb1d66a75b693cd7980cd3eb28c7357

Un total de $4.3 millones en activos digitales fueron transferidos a las siguientes direcciones.

Fondos Robados enviados a Dirección 1:
0xA747aF2a527E72cE303353b458a1c51eBCd53188

Fondos Robados enviados a Dirección 2:
0x27055aE433E9DCb30f6EbCC1A374Cf5CC03C484E

Una parte de los fondos robados ha sido identificada y está en proceso de ser recuperada de un CEX.

AlexLab está trabajando activamente a través de los procesos requeridos con otros CEX para recuperar fondos adicionales.

Ahora están encerrados en un intenso proceso de intentar recuperar los STX restantes y compartieron los datos forenses actuales con todos los CEX relevantes.

Dado que no hay garantía de que se recuperen todos los fondos robados, están evaluando el despliegue de reservas ALEX mantenidas por AlexLab Foundation hacia la financiación de un programa de subvenciones del tesoro para apoyar a su comunidad afectada por el ataque.

En el entretanto, tienen otra jugada desesperada en marcha, posiblemente proponiendo que la comunidad de Stacks queme directamente los STX no recuperados que están en las carteras del explotador, y luego emita nuevos tokens a los usuarios afectados.

AlexLabs está trabajando actualmente con todas las partes relevantes en un informe detallado post-mortem, que compartiremos contigo muy pronto.
ImmuneBytes y Chain Aegis han indicado que el atacante involucrado en este exploit también estuvo involucrado en el ataque a Mars Defi 412.

Mars Defi 412 fue atacado en un ataque de manipulación de precios por 100 mil dólares el 16 de abril.

La página de Auditoría de Seguridad de AlexLab destaca que el Puente Bitcoin está auditado por CoinFabrik, cubriendo tanto los contratos como los backends. Los contratos inteligentes también están sujetos a un programa de recompensas por errores en Immunefi.

Pero fue una clave privada comprometida lo que finalmente intentó hacer explotar el laboratorio, las auditorías y las recompensas de errores se convirtieron en una idea tardía en ese punto.

La pregunta de los 4.3 millones de dólares sigue siendo: ¿Cómo logró este astuto explotador obtener las claves de las bóvedas tan codiciadas mediante phishing o manipulación?

El equipo de AlexLab tiene trabajo por delante para desenredar esta cápsula de $4.3 millones de clave privada.

Aunque han logrado recuperar algunos activos y congelar fondos, millones siguen estando en las sombrías billeteras del explotador.

Sus soluciones propuestas de subvenciones del tesoro y reemisión de tokens muestran que están haciendo todo lo posible para hacer que los usuarios afectados recuperen sus fondos.

Pero al final del día, eso no deshará el daño de una mala seguridad operativa que permitió esta brecha en primer lugar.

La demora de un día para hacer público el exploit es preocupante.

A medida que los investigadores profundizan en los trucos de los phishers o si esto es un posible trabajo interno, esta saga será un caso de estudio sobre los peligros de la mala gestión de claves privadas.

El Salvaje Oeste cripto es un lugar despiadado, un solo error es todo lo que se necesita para que tu bóveda sea saqueada.

AlexLab puede auditar y recompensar errores hasta que las vacas vuelvan a casa, pero harían bien en implementar rápidamente multisig y otras prácticas robustas de gestión de claves.

De lo contrario, su brillante "capa de finanzas" corre el riesgo de quedar al desnudo por el próximo oportunista saqueador de bóvedas.

Un saqueador que podría ser un delincuente reincidente y que no tiene miedo de usar diferentes vectores de ataque, ¿quién podría ser el siguiente?

El juego del gato y el ratón cripto continúa.


compartir artículo

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.