Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 236Bug de smart contract

Drainage par auto-listing d'ALEX Lab

Une faille de vérification d'auto-listing a drainé 8,37 M$ (jusqu'à 16,2 M$ avec les tokens ALEX) d'ALEX Protocol sur Stacks, second incident majeur en 13 mois.

Date
Victime
ALEX Lab
Chaîne(s)
StacksBitcoin
Statut
Récupéré

Le 6 juin 2025, le protocole DeFi-Bitcoin ALEX Lab a subi son deuxième exploit majeur en 13 mois. L'attaquant a exploité une faille dans la logique de vérification d'auto-listing du protocole — une limitation on-chain de la blockchain Stacks elle-même — pour drainer plusieurs pools d'actifs. Perte officiellement reconnue : 8,37 millions de dollars ; les estimations d'analystes incluant l'aBTC, l'ALEX et d'autres tokens volés atteignaient 16,18 millions de dollars. Le Treasury Grant Program d'ALEX Lab a finalement délivré 100 % de remboursement aux utilisateurs affectés.

Ce qui s'est passé

ALEX Lab opère comme une suite DeFi sur Stacks, la couche à smart contracts ancrée sur Bitcoin. La fonctionnalité d'auto-listing du protocole permettait aux projets d'ajouter sans permission leurs propres tokens aux pools de liquidité d'ALEX — utile pour les émetteurs de tokens souhaitant une liquidité immédiate sans passer par un processus formel de listing.

La logique de vérification d'auto-listing s'appuyait sur des primitives on-chain que Stacks lui-même ne prend pas pleinement en charge de la manière supposée par le contrat. Spécifiquement, la vérification du protocole pour « ce contrat de token est-il légitime » présentait des lacunes que l'attaquant a trouvées et exploitées : en enregistrant un token malveillant via le chemin d'auto-listing, l'attaquant pouvait déclencher la logique de drainage contre les vraies réserves d'ALEX plutôt que contre le faux token enregistré.

L'attaque a drainé :

  • 8 403 867 STX (~5,69 M$)
  • 21,85 sBTC (~2,24 M$)
  • 149 850 USDC/USDT (~149 K$)
  • Tokens additionnels ALEX, aBTC valant plusieurs millions de plus (le total estimé par les analystes)

Conséquences

  • ALEX Lab a suspendu définitivement la fonctionnalité d'auto-listing, en attendant des « améliorations fondamentales au niveau chaîne » de Stacks.
  • L'équipe a annoncé un Treasury Grant Program qui a entièrement remboursé chaque utilisateur affecté au snapshot pré-incident.
  • Le token ALEX a chuté d'environ 45 % intraday mais s'est partiellement rétabli au fur et à mesure du déploiement du remboursement.
  • C'était le deuxième incident majeur du protocole après l'exploit du pont de mai 2024 attribué à Lazarus. Les deux incidents avaient des causes racines différentes — l'exploit du pont de 2024 était une attaque de type compromission de clé, tandis que l'exploit d'auto-listing de 2025 était une faille de conception du smart contract.

Pourquoi c'est important

Les deux incidents d'ALEX Lab en 13 mois illustrent le problème récurrent de fragilité post-incident : un projet ayant subi un exploit majeur fait face à :

  1. Une attention accrue d'attaquants sophistiqués qui connaissent désormais le codebase et les schémas de réponse de l'équipe.
  2. Une pression pour livrer des fonctionnalités et reconstruire la confiance des utilisateurs qui concurrence la rigueur requise pour le durcissement post-incident.
  3. Des ressources de trésorerie limitées si le premier incident a drainé les réserves prévues pour l'investissement en sécurité.

La leçon structurelle, bien documentée à travers l'ère post-Mt. Gox : le premier exploit signale une faiblesse exploitable de l'équipe ou de l'architecture, et le second exploit suit habituellement dans les 24 mois si la remédiation post-incident se concentre sur le bug spécifique plutôt que sur les causes systémiques.

La leçon spécifique à Stacks vaut aussi d'être notée : ALEX Lab est l'un des plus grands protocoles DeFi construits sur une couche à smart contracts qui n'a pas la même maturité primitive que l'EVM. L'approche de Stacks pour l'exécution ancrée à Bitcoin implique des compromis (confirmation plus lente, hypothèses de consensus différentes, contraintes du langage Clarity) qui affectent quelles conceptions de protocole sont sûres versus risquées. L'auto-listing — un schéma de confiance sans permission qui fonctionne bien sur Ethereum vu les capacités d'introspection de l'EVM — s'est avéré non sûr sur Stacks vu l'ensemble réel de primitives de la chaîne.

La réponse de remboursement complet d'ALEX Lab fut inhabituellement crédible et complète ; de nombreux protocoles plus petits face à une dynamique d'incident récurrent similaire ont fermé plutôt que d'absorber la seconde perte sur la trésorerie.

Sources & preuves on-chain

  1. [01]bitcoinsensus.comhttps://www.bitcoinsensus.com/news/alex-protocol-8-37m-exploit/
  2. [02]themerkle.comhttps://themerkle.com/alex-protocol-suffers-8-37m-exploit-launches-full-compensation-plan-for-affected-users/
  3. [03]guardrail.aihttps://www.guardrail.ai/blog/alex-protocol-hack-june-2025

Dépôts liés