Le piratage d'Alex Lab aurait touché les clients de la SPD Bank après un précédent exploit de 8,3 millions de dollars
Le piratage du protocole Bitcoin DeFi, Alex Lab, aurait touché la finance traditionnelle, ChainCatcher affirmant que les clients de la Shanghai Pudong Development Bank, ou SPD Bank, figuraient parmi les personnes touchées par le dernier incident.
Alex Lab s'était précédemment engagé à rembourser les utilisateurs après un exploit de 8,3 millions de dollars et a été confronté à des failles de sécurité répétées.
Des groupes liés à la Corée du Nord, dont Lazarus, ont été liés à des opérations antérieures liées à Alex Lab ciblant à la fois les banques et les projets DeFi.
Un récent incident de sécurité au niveau du protocole Bitcoin DeFi, Alex Lab, s'est propagé au système bancaire traditionnel, le point de vente chinois ChainCatcher rapportant que les clients de la Shanghai Pudong Development Bank (SPD Bank) faisaient partie des personnes touchées par le dernier exploit.
Selon Unchained, Alex Lab, construit sur le réseau Stacks ($STX), « a subi une faille de sécurité majeure le 6 juin, entraînant la perte d'environ 8,3 millions de dollars d'actifs numériques », dont 8,4 millions de dollars STX, 21,85 sBTC et plusieurs centaines de milliers de dollars d'USDT, USDC et wBTC, tous évalués à l'époque dans les huit chiffres les plus bas en termes de dollars.
Dans ce cas précédent, le protocole a déclaré qu'il "rembourserait intégralement les utilisateurs concernés", soulignant qu'il couvrirait les pertes de sa propre trésorerie tout en travaillant avec les forces de l'ordre et les bourses pour suivre les fonds.
Les violations en série d’Alex Lab et les liens avec la RPDC
L’exploit de juin 2025 n’était pas le premier incident grave d’Alex Lab.
La société de sécurité Halborn a noté que « le piratage d’Alex Lab a entraîné des pertes de 8,3 millions de dollars et a été causé par l’incapacité d’identifier les transactions ayant échoué sur la blockchain Stacks », soulignant une faille fondamentale mais critique dans la logique de vérification d’auto-inscription du protocole.
Plus tôt, une attaque en 2024 contre le pont à chaînes croisées d’Alex – connu sous le nom de XLink – a coûté plus de 4 millions de dollars, les enquêteurs ayant ensuite lié l’opération au groupe nord-coréen Lazarus, selon un rapport d’incident détaillé cité par Coinfomania.
Un dossier conjoint sur l’évasion des sanctions publié par le ministère japonais des Affaires étrangères répertorie à la fois « Alex Lab (basé à Singapour) » et les principaux prêteurs commerciaux chinois, dont la « Shanghai Pudong Development Bank », parmi les entités ciblées ou compromises par des groupes de menaces avancées persistantes (APT) liés à la RPDC, tels que Kimsuky et TraderTraitor.
Ce document souligne comment les cyberunités nord-coréennes ont de plus en plus mélangé des cibles financières traditionnelles comme SPD Bank avec des protocoles DeFi tels qu'Alex Lab dans des flux de travail de blanchiment en plusieurs étapes.
Les régulateurs et les acteurs du marché surveillent désormais de près si Alex Lab peut de manière crédible reconstruire la sécurité après des échecs répétés et si les autorités chinoises prennent des mesures pour protéger les banques d'une nouvelle contagion des actifs numériques.