Stacks上的ALEX协议被黑损失837万美元！慢雾余弦：利用self-listing机制缺陷

币圈子(120Btc.coM)：基于Stacks区块链的去中心化金融协议ALEX，在6日遭受黑客攻击，因self-listing逻辑漏洞导致约837万美元资金被盗。ALEX Lab基金会迅速回应，宣布将动用国库全额赔偿所有受影响用户。

黑客利用漏洞盗取近840万美元

攻击者利用ALEX协议中self-listing机制的逻辑缺陷，从多个资产池提取了大量资金。具体损失包括840万枚STX(约569万美元)、21.85枚sBTC(约224万美元)、149,850枚USDC/USDT(约14.98万美元)以及2.80枚WBTC/BTC(约28.74万美元)。ALEX平台在发现攻击后已立即暂停所有服务以控制损害并展开调查。

ALEX基金会承诺全额赔偿并公布方案

ALEX Lab基金会于6月7日公布赔偿方案，承诺以USDC全额赔偿用户损失。

赔偿金额将基于2025年6月6日18:00至22:00之间的链上汇率平均值计算。

基金会表示，所有受影响钱包地址将在2025年6月9日7:59(UTC)前收到通知及索赔表单，用户需在6月11日7:59(UTC)前提交，USDC将在确认后7个工作日内发送。

安全专家剖析

慢雾科技(SlowMist)创始人余弦分析指出，漏洞核心在于协议未对失败交易进行兼容验证。他表示：「此次攻击巧妙地利用了self-listing机制中的逻辑缺陷，攻击者能够绕过正常的验证流程，直接转移流动性池中的资金。这类逻辑漏洞比简单的程序错误更难被常规审计。」

余弦亦提及，ALEX协议去年曾因私钥泄露导致百万美元级损失。值得注意的是，攻击发生前三周，Clarity Alliance的安全审查报告已指出ALEX Lab存在流动性代币合规性及移除流动性时缺少最低金额检查等多个中低风险漏洞，但这些警告似乎未获及时处理。