Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 236Smart-Contract-Bug

ALEX Lab Self-Listing Drain

Eine Schwäche der Self-Listing-Verifikation entzog ALEX Protocol auf Stacks 8,37 Mio. USD (bis 16,2 Mio. mit ALEX) – zweiter Vorfall in 13 Monaten.

Datum
Opfer
ALEX Lab
Chain(s)
StacksBitcoin
Status
Zurückerlangt

Am 6. Juni 2025 erlitt das Bitcoin-DeFi-Protokoll ALEX Lab seinen zweiten großen Exploit in 13 Monaten. Der Angreifer nutzte eine Lücke in der Self-Listing-Verifikationslogik des Protokolls — eine On-Chain-Einschränkung der Stacks-Blockchain selbst — aus, um mehrere Asset-Pools zu entleeren. Offiziell bestätigter Verlust: 8,37 Millionen US-Dollar; Analystenschätzungen inklusive gestohlener aBTC, ALEX und anderer Tokens erreichten 16,18 Millionen US-Dollar. ALEX Labs Treasury Grant Program lieferte schließlich 100% Rückerstattung an betroffene Nutzer.

Was geschah

ALEX Lab betreibt eine DeFi-Suite auf Stacks, der Bitcoin-verankerten Smart-Contract-Schicht. Das Self-Listing-Feature des Protokolls erlaubte Projekten, ihre eigenen Tokens permissionless zu ALEX' Liquidity-Pools hinzuzufügen — nützlich für Token-Emittenten, die sofortige Liquidität wollen, ohne einen formellen Listing-Prozess zu durchlaufen.

Die Self-Listing-Verifikationslogik stützte sich auf On-Chain-Primitive, die Stacks selbst nicht vollständig in der vom Vertrag angenommenen Weise unterstützt. Konkret hatte die Prüfung des Protokolls auf „ist dies ein legitimer Token-Vertrag" Lücken, die der Angreifer fand und ausnutzte: Durch Registrierung eines bösartigen Tokens über den Self-Listing-Pfad konnte der Angreifer Drain-Logik gegen ALEX' tatsächliche Reserven auslösen, statt gegen den von ihm registrierten Fake-Token.

Der Angriff entwendete:

  • 8.403.867 STX (~5,69 Mio. USD)
  • 21,85 sBTC (~2,24 Mio. USD)
  • 149.850 USDC/USDT (~149 Tsd. USD)
  • Zusätzliche ALEX, aBTC-Tokens im Wert mehrerer Millionen mehr (analystengeschätzter Gesamtwert)

Folgen

  • ALEX Lab pausierte das Self-Listing-Feature dauerhaft, in Erwartung „fundamentaler Verbesserungen auf Chain-Ebene" für Stacks.
  • Das Team kündigte ein Treasury Grant Program an, das jedem betroffenen Nutzer zum Vor-Vorfall-Snapshot vollständig erstattete.
  • Der ALEX-Token fiel intraday um etwa 45%, erholte sich aber teilweise, als die Rückerstattung ausgerollt wurde.
  • Dies war der zweite große Vorfall des Protokolls nach dem Bridge-Exploit vom Mai 2024, der Lazarus zugeschrieben wurde. Die beiden Vorfälle hatten unterschiedliche Ursachen — der 2024er Bridge-Exploit war ein Key-Compromise-Muster, während der 2025er Self-Listing-Exploit ein Smart-Contract-Designfehler war.

Warum es wichtig ist

Die beiden Vorfälle von ALEX Lab in 13 Monaten illustrieren das wiederkehrende Post-Incident-Fragilitätsproblem: Ein Projekt, das einen großen Exploit erlitten hat, steht vor:

  1. Erhöhter Aufmerksamkeit erfahrener Angreifer, die nun den Codebase und die Reaktionsmuster des Teams kennen.
  2. Druck, Features auszuliefern und Nutzervertrauen wieder aufzubauen, der mit der für Post-Incident-Härtung erforderlichen Sorgfalt konkurriert.
  3. Begrenzten Treasury-Ressourcen, wenn der erste Vorfall Reserven entzogen hat, die für Sicherheitsinvestitionen bestimmt waren.

Die strukturelle Lektion, gut dokumentiert seit der Post-Mt.-Gox-Ära: Der erste Exploit signalisiert ausnutzbare Team- oder Architekturschwächen, und der zweite Exploit folgt meist innerhalb von 24 Monaten, wenn die Post-Incident-Behebung des Teams sich auf den spezifischen Bug statt auf die systemischen Ursachen konzentriert.

Die Stacks-spezifische Lektion ist ebenfalls erwähnenswert: ALEX Lab ist eines der größeren DeFi-Protokolle auf einer Smart-Contract-Schicht, die nicht dieselbe Primitiv-Reife wie die EVM hat. Stacks' Ansatz zur Bitcoin-verankerten Ausführung beinhaltet Trade-offs (langsamere Bestätigung, andere Konsens-Annahmen, Clarity-Sprachbeschränkungen), die beeinflussen, welche Protokoll-Designs sicher oder riskant sind. Self-Listing — ein permissionless Vertrauensmuster, das auf Ethereum dank der Introspektionsfähigkeiten der EVM gut funktioniert — erwies sich auf Stacks angesichts des tatsächlichen Primitiv-Sets der Chain als unsicher.

ALEX Labs Antwort mit vollständiger Rückerstattung war ungewöhnlich glaubwürdig und vollständig; viele kleinere Protokolle mit ähnlicher Wiederholungs-Vorfalls-Dynamik haben sich abgewickelt, statt den zweiten Verlust aus dem Treasury zu absorbieren.

Quellen & On-Chain-Belege

  1. [01]bitcoinsensus.comhttps://www.bitcoinsensus.com/news/alex-protocol-8-37m-exploit/
  2. [02]themerkle.comhttps://themerkle.com/alex-protocol-suffers-8-37m-exploit-launches-full-compensation-plan-for-affected-users/
  3. [03]guardrail.aihttps://www.guardrail.ai/blog/alex-protocol-hack-june-2025

Verwandte Einträge