Une fuite de hack d'Alex Lab aurait touché les clients de la banque SPD après une précédente exploitation de 8,3 millions de dollars

Hack sur le protocole DeFi Bitcoin Alex Lab aurait éclaté dans la finance traditionnelle, avec ChainCatcher affirmant que les clients de la Banque de Développement de Shanghai Pudong, ou SPD Bank, faisaient partie de ceux affectés lors du dernier incident.

• Alex Lab s’était auparavant engagé à rembourser les utilisateurs après une exploitation de 8,3 millions de dollars et a fait face à des échecs de sécurité répétés.
• Des groupes liés à la Corée du Nord, dont Lazarus, ont été associés à des opérations antérieures d’Alex Lab ciblant à la fois des banques et des projets DeFi.

Un incident de sécurité récent sur le protocole DeFi Bitcoin Alex Lab a éclaté dans le système bancaire traditionnel, avec le média chinois ChainCatcher rapportant que les clients de la Banque de Développement de Shanghai Pudong (SPD Bank) faisaient partie de ceux affectés par la dernière exploitation.

Selon Unchained, Alex Lab, construit sur le réseau Stacks (STX), « a subi une violation majeure de sécurité le 6 juin, entraînant la perte d’environ 8,3 millions de dollars d’actifs numériques », comprenant 8,4 millions de STX, 21,85 sBTC et plusieurs centaines de milliers de dollars en USDT, USDC et wBTC, tous évalués à l’époque à une valeur à huit chiffres en dollars.

Dans ce cas précédent, le protocole a déclaré qu’il « rembourserait intégralement les utilisateurs affectés », en insistant sur le fait qu’il couvrirait les pertes avec sa propre trésorerie tout en collaborant avec les forces de l’ordre et les échanges pour suivre les fonds.

Breaches en série d’Alex Lab et liens avec la DPRK

L’exploitation de juin 2025 n’était pas la première grave incident d’Alex Lab.

La société de sécurité Halborn a noté que « le piratage d’Alex Lab impliquait 8,3 millions de dollars de pertes et a été causé par l’incapacité à identifier les transactions échouées sur la blockchain Stacks », soulignant une faille simple mais critique dans la logique de vérification de l’auto-listing du protocole.

Plus tôt, une attaque en 2024 sur le pont cross-chain d’Alex — connu sous le nom de XLink — a drainé plus de 4 millions de dollars, et les enquêteurs ont ensuite lié l’opération au groupe Lazarus de la Corée du Nord, selon un rapport détaillé cité par Coinfomania.

Un dossier conjoint sur l’évasion des sanctions publié par le ministère des Affaires étrangères du Japon liste à la fois « Alex Lab (basé à Singapour) » et de grands prêteurs commerciaux chinois, y compris « Shanghai Pudong Development Bank », parmi les entités ciblées ou compromises par des groupes de menaces persistantes avancées (APT) liés à la DPRK tels que Kimsuky et TraderTraitor.

Ce document souligne comment les unités cybernétiques nord-coréennes ont de plus en plus mêlé des cibles de la finance traditionnelle comme SPD Bank avec des protocoles DeFi tels qu’Alex Lab dans des workflows de blanchiment à plusieurs étapes.

Les régulateurs et les acteurs du marché surveillent désormais de près pour voir si Alex Lab peut reconstruire crédiblement sa sécurité après des échecs répétés et si les autorités chinoises agiront pour protéger les banques contre une contagion accrue des actifs numériques.