Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 192Exploit de pont

Exploit du pont ALEX Lab

Le groupe Lazarus (RPDC) a drainé 4,3 M$ du pont inter-chaînes Stacks d'ALEX Lab via une faille de vérification, retracée par le blanchiment on-chain.

Date
Victime
ALEX Lab
Chaîne(s)
StacksBitcoin
Statut
Fonds dérobés
Attribution
Lazarus Group (DPRK)

Le 15 mai 2024, ALEX Lab — une plateforme DeFi Bitcoin construite sur la blockchain Stacks — a perdu environ 4,3 millions de dollars lorsque son infrastructure de pont inter-chaînes a été exploitée. Le schéma on-chain correspondait aux TTPs du groupe Lazarus de l'époque, et le projet a publiquement attribué l'attaque à Lazarus sur la base de la route de blanchiment.

Ce qui s'est passé

ALEX Lab fournissait de la liquidité inter-chaînes entre Bitcoin (via le pont SBTC de Stacks) et divers wrappers ERC-20. La compromission ciblait la logique de vérification dans le composant de pont qui autorisait les retraits inter-chaînes.

Le vecteur de vulnérabilité exact n'a pas été pleinement détaillé publiquement — les divulgations d'incident d'ALEX Lab se sont concentrées sur la réponse opérationnelle plutôt que sur la cause racine technique. D'après les preuves on-chain, l'attaquant a obtenu la capacité de retirer des actifs pontés sans dépôts correspondants, a drainé environ 4,3 M$ sur plusieurs tokens et a routé les produits via des ponts inter-chaînes vers des chemins anonymisants conformes au playbook standard de Lazarus.

Conséquences

  • ALEX Lab a mis en pause le pont et offert à l'attaquant une prime white-hat de 10 % pour le retour des fonds. Aucun retour.
  • Le protocole a annoncé un plan d'indemnisation financé par les revenus du protocole et les réserves de l'équipe ; les remboursements ont été traités dans les mois suivant l'incident.
  • Un exploit distinct a frappé ALEX Lab en juin 2025 (8,3 M$, exploitant une faille dans la logique de vérification d'auto-listing) — un an plus tard, avec une classe de bug différente.

Pourquoi c'est important

ALEX Lab a été l'un des rares incidents majeurs de 2024 sur un L2 adjacent à Bitcoin (Stacks), illustrant que les défis de sécurité du ponting inter-chaînes ne changent pas beaucoup quand une extrémité est Bitcoin : les contrats de pont vivent toujours sur une chaîne à smart contracts, la logique de vérification doit toujours être étanche, et un signataire compromis ou une vérification manquante draine toujours de vrais fonds.

L'attribution à Lazarus a aussi renforcé le schéma documenté chez Atomic Wallet, Stake.com et bien d'autres : les incidents DeFi/wallet/pont de taille moyenne dans la fourchette 4-50 M$ sur 2023-2024 étaient disproportionnellement des opérations Lazarus, souvent menées en parallèle d'attaques beaucoup plus grandes ciblant les CEX comme DMM Bitcoin et WazirX.

Sources & preuves on-chain

  1. [01]coindesk.comhttps://www.coindesk.com/business/2024/05/15/bitcoin-defi-tool-alex-lab-loses-43m-in-hack-offers-10-bounty-for-stolen-funds
  2. [02]bitcoinist.comhttps://bitcoinist.com/defi-protocol-alex-lab-4-million-hack-linked-to-lazarus-group/
  3. [03]coinfomania.comhttps://coinfomania.com/alex-labs-confirms-major-security-breach-suspends-platform-operations-and-launches-full-investigation-into-multi-asset-hack/

Dépôts liés