El TokenBridge de Alephium (ALPH) fue drenado de aproximadamente $815,000 después de que un atacante explotara una vulnerabilidad que permitió que mensajes falsificados pasaran a través de la red de guardianes del protocolo y autorizaran transferencias fraudulentas de tokens.
El equipo de Alephium confirmó que la empresa de seguridad blockchain Blockaid fue la primera en detectar la explotación. La unidad de respuesta de emergencia SEAL_911 de la Security Alliance también proporcionó asistencia y respuesta durante toda la investigación posterior.
Explotación drena $815,000 en menos de 7 minutos
El atacante transfirió fondos desde el Alephium TokenBridge en Ethereum y BNB Chain en aproximadamente siete minutos. En Ethereum, las pérdidas incluyeron 200.967 Tether (USDT), 17.594 USD Coin (USDC), 5,18 Wrapped Ether (WETH) y 0,335 Wrapped Bitcoin (WBTC).
Se retiraron 36.750 USDT adicionales y 24,386 Wrapped BNB del lado de la BNB Chain del puente. El atacante también acuñó 13,76 millones de Wrapped ALPH no respaldados y los transfirió directamente a su monedero.
Alephium cerró el puente y declaró que está explorando todas las opciones para compensar a los usuarios afectados.
El incidente agrava la imagen cada vez más negativa de la infraestructura entre cadenas en 2026. Las pérdidas por hackeos de cripto en abril alcanzaron los $606 millones, y el total de hackeos DeFi en mayo ha seguido aumentando hacia junio.
Un exploit de la puente CrossCurve y un exploit de Hyperbridge, ambos revisados a $2.5 millones, también contribuyeron al total del año.
Mensajes falsificados, no claves robadas
Los desarrolladores construyeron el Alephium TokenBridge sobre una bifurcación del protocolo Wormhole, que depende de una red de guardianes para validar mensajes entre cadenas. Un quórum de guardianes debe aprobar cualquier transferencia, lo que convierte la capacidad de inyectar mensajes fraudulentos en una vulnerabilidad de alto impacto.
Los informes iniciales atribuyeron la brecha a claves privadas de guardianes comprometidas, estableciendo comparaciones con la compromisión de claves de Gravity Bridge que costó $5.4 millones a principios de 2026. La actualización posterior al incidente de Alephium contradice ese enfoque.
La explotación no parece haber implicado un compromiso de las claves privadas de los guardianes. En cambio, parece haber involucrado una explotación que permitió que eventos/mensajes falsificados y maliciosos fueran observados y firmados por los guardianes,” dice Alephium
La distinción importa. Un punto clave de compromiso que lleva a un fallo operativo, mientras que un ataque de mensaje falsificado indica una falla en cómo la puente validó los datos entrantes antes de presentarlos a los guardianes.
Una dinámica similar surgió en la explotación del puente de Polkadot, donde el atacante validó fraudulentamente transacciones y acuñó tokens no respaldados. Alephium dijo que un informe técnico completo de su equipo está próximo.