Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 236Fallo de smart contract

Drenaje por self-listing en ALEX Lab

Un fallo en el self-listing drenó $8,37M (hasta $16,2M con tokens ALEX) de ALEX Protocol en Stacks: segundo gran incidente en 13 meses.

Fecha
Víctima
ALEX Lab
Cadena(s)
StacksBitcoin
Estado
Recuperado

El 6 de junio de 2025, el protocolo de Bitcoin-DeFi ALEX Lab sufrió su segundo gran exploit en 13 meses. El atacante explotó un fallo en la lógica de verificación del self-listing del protocolo — una limitación on-chain de la propia blockchain Stacks — para drenar varios pools de activos. Pérdida reconocida oficialmente: 8,37 millones de dólares; las estimaciones de analistas incluyendo aBTC, ALEX y otros tokens robados llegaron a 16,18 millones de dólares. El Treasury Grant Program de ALEX Lab finalmente entregó un reembolso del 100% a los usuarios afectados.

Qué ocurrió

ALEX Lab opera como una suite DeFi sobre Stacks, la capa de contratos inteligentes anclada en Bitcoin. La función de self-listing del protocolo permitía a los proyectos añadir sin permiso sus propios tokens a los pools de liquidez de ALEX — útil para emisores de tokens que querían liquidez inmediata sin pasar por un proceso de listado formal.

La lógica de verificación del self-listing se basaba en primitivas on-chain que Stacks no soporta plenamente de la forma en que el contrato asumía. Específicamente, la comprobación del protocolo de "¿es este un contrato de token legítimo?" tenía huecos que el atacante encontró y explotó: al registrar un token malicioso a través de la ruta de self-listing, el atacante pudo activar lógica de drenaje contra las reservas reales de ALEX en lugar del token falso que había registrado.

El ataque drenó:

  • 8.403.867 STX (~$5,69M)
  • 21,85 sBTC (~$2,24M)
  • 149.850 USDC/USDT (~$149K)
  • Tokens adicionales ALEX, aBTC valorados en varios millones más (el total estimado por analistas)

Consecuencias

  • ALEX Lab pausó permanentemente la función de self-listing, pendiente de "mejoras fundamentales a nivel de cadena" en Stacks.
  • El equipo anunció un Treasury Grant Program que reembolsó plenamente a cada usuario afectado según el snapshot previo al incidente.
  • El token ALEX cayó aproximadamente 45% intradía pero se recuperó parcialmente conforme se desplegaba el reembolso.
  • Este fue el segundo gran incidente del protocolo tras el exploit del puente de mayo de 2024 atribuido a Lazarus. Los dos incidentes tuvieron causas raíz diferentes — el exploit del puente de 2024 fue un ataque tipo compromiso de claves, mientras que el exploit de self-listing de 2025 fue un fallo de diseño en el contrato inteligente.

Por qué importa

Los dos incidentes de ALEX Lab en 13 meses ilustran el problema recurrente de fragilidad post-incidente: un proyecto que ha sufrido un gran exploit enfrenta:

  1. Mayor atención de atacantes sofisticados que ahora conocen el código y los patrones de respuesta del equipo.
  2. Presión por enviar funciones y reconstruir la confianza del usuario que compite con el rigor requerido para el endurecimiento post-incidente.
  3. Recursos limitados de tesorería si el primer incidente drenó las reservas destinadas a inversión en seguridad.

La lección estructural, bien documentada desde la era post-Mt. Gox: el primer exploit señala debilidad explotable de equipo o arquitectura, y el segundo exploit normalmente llega dentro de los 24 meses si la remediación post-incidente del equipo se centra en el bug específico en lugar de en las causas sistémicas.

La lección específica de Stacks también merece destacarse: ALEX Lab es uno de los protocolos DeFi más grandes construidos sobre una capa de contratos inteligentes que no tiene la misma madurez de primitivas que la EVM. El enfoque de Stacks para la ejecución anclada en Bitcoin implica trade-offs (confirmación más lenta, suposiciones de consenso diferentes, restricciones del lenguaje Clarity) que afectan a qué diseños de protocolo son seguros frente a arriesgados. El self-listing — un patrón de confianza sin permiso que funciona bien en Ethereum dadas las capacidades de introspección de la EVM — resultó ser inseguro en Stacks dado el conjunto real de primitivas de la cadena.

La respuesta de reembolso total de ALEX Lab fue inusualmente creíble y completa; muchos protocolos más pequeños frente a dinámicas similares de incidente repetido han cerrado en lugar de absorber la segunda pérdida desde tesorería.

Fuentes y evidencia on-chain

  1. [01]bitcoinsensus.comhttps://www.bitcoinsensus.com/news/alex-protocol-8-37m-exploit/
  2. [02]themerkle.comhttps://themerkle.com/alex-protocol-suffers-8-37m-exploit-launches-full-compensation-plan-for-affected-users/
  3. [03]guardrail.aihttps://www.guardrail.ai/blog/alex-protocol-hack-june-2025

Registros relacionados