Stacks上的ALEX协议遭骇损失837万美元！基金会承诺全额赔偿

基于 Stacks 区块链的 ALEX DeFi 协议因逻辑漏洞遭骇，损失近 840 万美元。ALEX 基金会迅速回应，承诺全额赔偿。 （前情提要：以太坊Pectra升级「骇客爽翻」，Wintermute警告：EIP-7702使大量合约部署自动化攻击 ） （背景补充：微策略开喷链上储备证明PoR，Michael Saylor：公开地址太愚蠢，让骇客易于狙击 ） 基于 Stacks 区块链的去中心化金融协议 ALEX，在 6 日遭受骇客攻击，因 self-listing 逻辑漏洞导致约 837 万美元资金被盗。ALEX Lab 基金会迅速回应，宣布将动用国库全额赔偿所有受影响用户。 骇客利用漏洞盗取近 840 万美元 攻击者利用 ALEX 协议中 self-listing 机制的逻辑缺陷，从多个资产池提取了大量资金。具体损失包括 840 万枚 STX (约 569 万美元)、21.85 枚 sBTC (约 224 万美元)、149,850 枚 USDC/USDT (约 14.98 万美元) 以及 2.80 枚 WBTC/BTC (约 28.74 万美元)。ALEX 平台在发现攻击后已立即暂停所有服务以控制损害并展开调查。 ALEX 基金会承诺全额赔偿并公布方案 ALEX Lab 基金会于 6 月 7 日公布赔偿方案，承诺以 USDC 全额赔偿用户损失。 赔偿金额将基于 2025 年 6 月 6 日 18:00 至 22:00 之间的链上汇率平均值计算。 基金会表示，所有受影响钱包地址将在 2025 年 6 月 9 日 7:59 (UTC) 前收到通知及索赔表单，用户需在 6 月 11 日 7:59 (UTC) 前提交，USDC 将在确认后 7 个工作日内发送。 On June 6, 2025, ALEX Protocol was exploited via a flaw in the self-listing verification logic (an on-chain limitation on Stacks). As a result, the attacker drained several asset pools, with the breakdown of lost assets as follows: STX: 8,403,867.57 STX → $ 5,691,255.93 sBTC:… — ALEX No. 1 Bitcoin DeFi (@ALEXLabBTC) June 6, 2025 安全专家剖析 慢雾科技 (SlowMist) 创始人余弦分析指出，漏洞核心在于协议未对失败交易进行兼容验证。他表示： 「此次攻击巧妙地利用了 self-listing 机制中的逻辑缺陷，攻击者能够绕过正常的验证流程，直接转移流动性池中的资金。这类逻辑漏洞比简单的程式错误更难被常规审计。」 余弦亦提及，ALEX 协议去年曾因私钥泄露导致百万美元级损失。值得注意的是，攻击发生前三周，Clarity Alliance 的安全审查报告已指出 ALEX Lab 存在流动性代币合规性及移除流动性时缺少最低金额检查等多个中低风险漏洞，但这些警告似乎未获及时处理。 相关报导 中国悬赏1万人民币通缉台湾「骇客军团」，资安界喷笑：这金额塞牙缝？ 半年窃21亿美元！资安报告：骇客攻击重心从智能合约转向一般用户，四招教你保护加密资产 币托BitoPro回应骇客攻击！5月转移热钱包遭窃，储备充足完全不影响营运 〈Stacks上的ALEX协议遭骇损失837万美元！基金会承诺全额赔偿〉这篇文章最早发布于动区BlockTempo《动区动趋-最具影响力的区块链新闻媒体》。