Vào ngày 6 tháng 6 năm 2025, giao thức DeFi dựa trên nền tảng Stacks mang tên ALEX đã bị khai thác một lỗ hổng nghiêm trọng trong cơ chế xác thực tự niêm yết token, dẫn đến việc hacker rút sạch nhiều tài sản trong các pool của hệ thống. Tổng thiệt hại ước tính lên đến khoảng 8,37 triệu USD, gồm:
8,4 triệu STX (trị giá khoảng 5,69 triệu USD)
21,85 sBTC (khoảng 2,24 triệu USD)
149.850 USDC/USDT (khoảng 150.000 USD)
2,8 WBTC (khoảng 287.000 USD)
Nguyên nhân sự cố
Lỗi xảy ra trong quá trình xác thực tự niêm yết token trên chuỗi (self-listing verification logic) – một hạn chế về mặt on-chain của Stacks. Hacker đã lợi dụng lỗ hổng này để rút toàn bộ tài sản từ nhiều pool của ALEX Protocol.
Kế hoạch bồi thường từ ALEX Lab Foundation
ALEX Lab Foundation cam kết bồi hoàn 100% thiệt hại cho người dùng bị ảnh hưởng, trả bằng USDC dựa trên tỷ giá trung bình trên chuỗi tính trong khoảng thời gian từ 17:00 đến 21:00 giờ Việt Nam ngày 6/6/2025. Tổng giá trị bồi thường là hơn 8,37 triệu USD.
Quá trình yêu cầu bồi thường gồm các bước:
Thông báo: Trước 6 giờ sáng ngày 9/6/2025, tất cả các ví bị ảnh hưởng sẽ nhận được thông báo riêng (on-chain) kèm theo biểu mẫu yêu cầu bồi thường.
Hạn chót nộp yêu cầu: Người dùng cần hoàn thành biểu mẫu và xác nhận địa chỉ ví nhận bồi thường trước 6 giờ sáng ngày 11/6/2025.
Chi trả: Trong vòng 7 ngày làm việc sau khi xác nhận yêu cầu, USDC sẽ được chuyển vào ví đã xác nhận.
ALEX Lab Foundation cam kết khôi phục toàn bộ số tiền cho người dùng bị thiệt hại trong thời gian sớm nhất, đảm bảo an toàn và minh bạch cho cộng đồng.