Alex Lab, un protocollo DeFi basato su Bitcoin, ha rivelato nuovi dettagli sull'hacking subito a maggio. Il progetto ha annunciato di aver potenzialmente identificato l'aggressore con l'aiuto di un investigatore blockchain mentre la polizia continuava a indagare sull'incidente.
Il protocollo DeFi perde milioni a causa di attacchi di phishing
Il 15 maggio la Alex Lab Foundation è stata vittima di un exploit che ha sottratto milioni ai fondi degli utenti. Il protocollo DeFi ha rivelato che l’aggressore ha ottenuto chiavi private tramite un attacco di phishing, garantendogli pieno accesso ai fondi.
L'aggressore ha utilizzato le chiavi compromesse per accedere a uno dei depositi associati all'Alex Liquidity Pool, compromettendo tutti gli asset presenti nel deposito.
L'elenco degli asset interessati include aBTC, sUSDT, XBTC, xUSD, ALEX, atALEX, LiSTX, SKO, CHAX, $B20, ORDG, ORMM, ORNJ, TRIO, TX20 e STXS. Ciononostante, il progetto ha affermato che il codice e l’infrastruttura del contratto intelligente sottostante non erano stati compromessi.
Dopo aver assunto la carica di amministratore, l'aggressore ha prosciugato circa 13,7 milioni di stack (STX), di cui 3 milioni inviati a diversi scambi centralizzati (CEX). Secondo il rapporto, gli sfruttatori hanno inviato STX a Binance, Kraken, OKX, Bybit, Kucoin e altri scambi.
Entro il 16 maggio, il progetto DeFi aveva recuperato la maggior parte degli asset interessati. Inoltre, ha rivelato di monitorare i portafogli dello sfruttatore e di aver avvisato i CEX coinvolti.
Alex Lab ha inoltre affermato che una parte dei fondi rubati, del valore di circa 4 milioni di dollari, era in procinto di essere recuperata da uno degli scambi centralizzati. Tuttavia, il protocollo spiegava che non vi erano garanzie che tutti i fondi rubati potessero essere recuperati.
Il gruppo Lazarus è collegato all'attacco
Il 17 giugno, Alex Lab ha aggiornato gli investitori sullo stato dell'incidente. Dopo non essere riuscito a contattare lo sfruttatore, il protocollo DeFi ha continuato a rintracciare i beni rubati.
Di conseguenza, il team ha scoperto che l’hacker aveva trasmesso quasi 10.000 transazioni in un mese. Secondo il post, l'aggressore ha generato centinaia di nuovi indirizzi per disperdere i token STX on-chain. Dopo aver inviato il saldo ai nuovi portafogli, i token sono stati trasferiti ai CEX in importi minori.
Il numero di portafogli legati all’exploit aumenta esponenzialmente ogni giorno “senza segni di pausa”. La settimana scorsa, 8,3 milioni di STX, per un valore di circa 14 milioni di dollari, erano stati depositati sui CEX. Nel frattempo, circa 5,5 milioni di STX sono rimasti in catena.
Il 24 giugno, Alex Lab ha dettagliato le nuove scoperte cruciali nell’indagine in corso. Secondo il protocollo DeFi, avrebbero potenzialmente identificato i suoi aggressori.
Apparentemente alcuni indirizzi di exploit sarebbero stati collegati al gruppo di hacker nordcoreano Lazarus Group . L'analisi forense, assistita dal detective crittografico ZachXBT, ha rivelato "prove sostanziali di transazioni che collegano l'attacco al Gruppo Lazarus".
L'indirizzo iniziale dell'exploit a cui sono stati originariamente inviati i fondi ha trasferito i fondi a un secondo indirizzo, che sembra collegato al gruppo di hacker nordcoreano. La cronologia delle transazioni mostra che il secondo indirizzo "utilizzava un noto indirizzo Lazarus TRON".
La Fondazione ha spiegato di aver facilitato i contatti tra i CEX e le forze di polizia di Singapore. Infine, hanno dichiarato che stanno collaborando con esperti di sicurezza informatica per “affrontare le implicazioni di questo attacco e recuperare i beni perduti”.
