Hack do Alex Lab supostamente afeta clientes do SPD Bank após exploração anterior de 8,3 milhões de dólares

Hack no protocolo DeFi de Bitcoin, Alex Lab, supostamente se espalhou para as finanças tradicionais, com a ChainCatcher a afirmar que clientes do Banco de Desenvolvimento de Xangai, ou Banco SPD, estavam entre os afetados no último incidente.

• Alex Lab comprometeu-se anteriormente a reembolsar os utilizadores após uma exploração de 8,3 milhões de dólares e enfrentou falhas de segurança repetidas.
• Grupos ligados à Coreia do Norte, incluindo Lazarus, têm sido associados a operações anteriores relacionadas com o Alex Lab, direcionadas tanto a bancos quanto a projetos DeFi.

Um incidente de segurança recente no protocolo DeFi de Bitcoin, Alex Lab, espalhou-se para o sistema bancário tradicional, com a publicação chinesa ChainCatcher a relatar que clientes do Banco de Desenvolvimento de Xangai (Banco SPD) estavam entre os afetados pela última exploração.

De acordo com a Unchained, o Alex Lab, construído na rede Stacks (STX), “sofreu uma violação de segurança importante em 6 de junho, resultando na perda de cerca de 8,3 milhões de dólares em ativos digitais,” incluindo 8,4 milhões de STX, 21,85 sBTC e várias centenas de milhares de dólares em USDT, USDC e wBTC, todos avaliados na faixa de oito dígitos em dólares na altura.

Nesse caso anterior, o protocolo afirmou que “reembolsaria totalmente os utilizadores afetados,” salientando que cobriria as perdas com o seu próprio tesouro enquanto trabalhava com as autoridades e as trocas para rastrear os fundos.

Brechas em série do Alex Lab e ligações à DPRK

O ataque de junho de 2025 não foi o primeiro incidente grave do Alex Lab.

A empresa de segurança Halborn observou que “o hack do Alex Lab envolveu perdas de 8,3 milhões de dólares e foi causado pela incapacidade de identificar transações falhadas na blockchain Stacks,” destacando uma falha básica, mas crítica, na lógica de verificação de auto-listagem do protocolo.

Anteriormente, um ataque em 2024 à ponte cross-chain do Alex — conhecida como XLink — drenou mais de 4 milhões de dólares, com investigadores posteriormente ligando a operação ao Lazarus Group, da Coreia do Norte, segundo um relatório detalhado de incidente citado pela Coinfomania.

Um dossier conjunto de sanções e evasão de sanções, publicado pelo Ministério dos Negócios Estrangeiros do Japão, lista tanto o “Alex Lab (com sede em Singapura)” quanto grandes bancos comerciais chineses, incluindo o “Banco de Desenvolvimento de Xangai,” como entidades visadas ou comprometidas por grupos de ameaças persistentes avançadas (APT) ligados à DPRK, como Kimsuky e TraderTraitor.

Esse documento destaca como as unidades cibernéticas norte-coreanas têm vindo a combinar cada vez mais alvos de finanças tradicionais, como o Banco SPD, com protocolos DeFi, como o Alex Lab, em fluxos de lavagem de dinheiro em múltiplas etapas.

Reguladores e participantes do mercado estão agora a observar de perto para ver se o Alex Lab consegue reconstruir credivelmente a segurança após falhas repetidas e se as autoridades chinesas avançam para proteger os bancos de uma maior contaminação por ativos digitais.