Alex Lab, un protocole DeFi basé sur Bitcoin, a révélé de nouveaux détails sur le piratage subi en mai. Le projet a annoncé qu'il avait potentiellement identifié l'attaquant avec l'aide d'un enquêteur de la blockchain alors que la police poursuivait son enquête sur l'incident.
Le protocole DeFi perd des millions à cause des attaques de phishing
Le 15 mai, la Fondation Alex Lab a été victime d'un exploit qui a volé des millions de dollars aux fonds des utilisateurs. Le protocole DeFi a révélé que l'attaquant avait obtenu des clés privées via une attaque de phishing, lui donnant un accès complet aux fonds.
L'attaquant a utilisé les clés compromises pour accéder à l'un des coffres associés au Alex Liquidity Pool, compromettant ainsi tous les actifs du coffre-fort.
La liste des actifs concernés comprend aBTC, sUSDT, XBTC, xUSD, ALEX, atALEX, LiSTX, SKO, CHAX, $B20, ORDG, ORMM, ORNJ, TRIO, TX20 et STXS. Néanmoins, le projet a affirmé que le code et l’infrastructure sous-jacente des contrats intelligents n’avaient pas été compromis.
Après avoir pris la relève en tant qu'administrateur, l'attaquant a vidé environ 13,7 millions de piles (STX), dont 3 millions ont été envoyées vers plusieurs échanges centralisés (CEX). Selon le rapport, les exploiteurs ont envoyé STX vers Binance, Kraken, OKX, Bybit, Kucoin et d'autres bourses.
Le 16 mai, le projet DeFi avait récupéré la plupart des actifs concernés. En outre, il a révélé qu'il surveillait les portefeuilles des exploiteurs et qu'il avait informé les CEX impliqués.
Alex Lab a en outre affirmé qu'une partie des fonds volés, d'une valeur d'environ 4 millions de dollars, était en train d'être récupérée par l'un des échanges centralisés. Cependant, le protocole expliquait qu’il n’y avait aucune garantie que tous les fonds volés puissent être récupérés.
Le groupe Lazarus est lié à l'attentat
Le 17 juin, Alex Lab a informé les investisseurs de l'état de l'incident. Après avoir échoué à contacter l'exploiteur, le protocole DeFi a continué à suivre les actifs volés.
En conséquence, l’équipe a découvert que le pirate informatique avait transmis près de 10 000 transactions en un mois. Selon le message, l'attaquant a généré des centaines de nouvelles adresses pour disperser les jetons STX sur la chaîne. Après avoir envoyé le solde vers les nouveaux portefeuilles, les jetons ont été transférés vers les CEX en plus petites quantités.
Le nombre de portefeuilles liés à l’exploit augmente de façon exponentielle chaque jour « sans aucun signe d’arrêt ». La semaine dernière, 8,3 millions de STX, d'une valeur d'environ 14 millions de dollars, ont été déposés sur des CEX. Pendant ce temps, environ 5,5 millions de STX sont restés sur la chaîne.
Le 24 juin, Alex Lab a détaillé de nouvelles découvertes cruciales dans l'enquête en cours. Selon le protocole DeFi, ils auraient potentiellement identifié ses attaquants.
Certaines adresses d'exploit ont apparemment été liées au groupe de piratage nord-coréen Lazarus Group . L'analyse médico-légale, assistée par le détective crypto ZachXBT, a révélé « des preuves substantielles de transactions liant l'attaque au groupe Lazarus ».
L'adresse initiale de l'exploit à laquelle les fonds ont été initialement envoyés a transféré les fonds vers une deuxième adresse, qui semble liée au groupe de piratage nord-coréen. L’historique des transactions montre que la deuxième adresse « utilisait une adresse Lazarus TRON connue ».
La Fondation a expliqué qu'elle facilitait les contacts entre le CEX et la police de Singapour. Enfin, ils ont déclaré travailler avec des experts en cybersécurité pour « faire face aux implications de cette attaque et récupérer les actifs perdus ».
