Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 192Exploit de puente

Exploit del puente de ALEX Lab

Lazarus de la RPDC drenó $4,3M del puente cross-chain de ALEX Lab en Stacks mediante un fallo en la lógica de verificación, rastreado vía blanqueo on-chain.

Fecha
Víctima
ALEX Lab
Cadena(s)
StacksBitcoin
Estado
Fondos robados
Atribución
Lazarus Group (DPRK)

El 15 de mayo de 2024, ALEX Lab — una plataforma DeFi de Bitcoin construida sobre la blockchain Stacks — perdió aproximadamente 4,3 millones de dólares cuando su infraestructura de puente cross-chain fue explotada. El patrón on-chain coincidía con los TTP del Grupo Lazarus de la época, y el proyecto atribuyó públicamente el ataque a Lazarus basándose en la ruta de blanqueo.

Qué ocurrió

ALEX Lab proporcionaba liquidez cross-chain entre Bitcoin (vía el puente SBTC de Stacks) y varios wrappers ERC-20. El compromiso apuntó a la lógica de verificación en el componente del puente que autorizaba las retiradas cross-chain.

El vector exacto de vulnerabilidad no se detalló completamente en público — las divulgaciones del incidente de ALEX Lab se centraron en la respuesta operativa más que en la causa técnica raíz. A partir de la evidencia on-chain, el atacante obtuvo la capacidad de retirar activos puenteados sin depósitos correspondientes, drenó aproximadamente $4,3M en múltiples tokens, y enrutó los fondos a través de puentes cross-chain hacia rutas anonimizadoras consistentes con el playbook estándar de Lazarus.

Consecuencias

  • ALEX Lab pausó el puente y ofreció al atacante una recompensa white-hat del 10% por la devolución de los fondos. Sin devolución.
  • El protocolo anunció un plan de compensación financiado con ingresos del protocolo y reservas del equipo; los reembolsos se procesaron en los meses siguientes al incidente.
  • Un exploit separado golpeó a ALEX Lab en junio de 2025 ($8,3M, explotando un fallo en la lógica de verificación de self-listing) — un año después, con una clase de bug diferente.

Por qué importa

ALEX Lab fue uno de los pocos incidentes importantes de 2024 en una L2 adyacente a Bitcoin (Stacks), ilustrando que los desafíos de seguridad del puenteo cross-chain no cambian mucho cuando un extremo es Bitcoin: los contratos del puente siguen viviendo en una cadena de contratos inteligentes, la lógica de verificación sigue necesitando ser hermética, y un firmante comprometido o una verificación faltante sigue drenando fondos reales.

La atribución a Lazarus también reforzó el patrón documentado en Atomic Wallet, Stake.com y muchos otros: los incidentes DeFi/wallet/puente de tamaño medio en el rango de $4-50M durante 2023-2024 fueron desproporcionadamente operaciones de Lazarus, a menudo ejecutándose en paralelo con ataques mucho mayores centrados en CEX como DMM Bitcoin y WazirX.

Fuentes y evidencia on-chain

  1. [01]coindesk.comhttps://www.coindesk.com/business/2024/05/15/bitcoin-defi-tool-alex-lab-loses-43m-in-hack-offers-10-bounty-for-stolen-funds
  2. [02]bitcoinist.comhttps://bitcoinist.com/defi-protocol-alex-lab-4-million-hack-linked-to-lazarus-group/
  3. [03]coinfomania.comhttps://coinfomania.com/alex-labs-confirms-major-security-breach-suspends-platform-operations-and-launches-full-investigation-into-multi-asset-hack/

Registros relacionados