Inicio
Noticias
Detalles

Explotación del Alephium TokenBridge de Ethereum drena $815K en 7 minutos

iconAMBCrypto
Compartir
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$1847,13-2,97 %
AI summary iconResumen

expand icon
Un exploit DeFi afectó a Ethereum el 30 de mayo, cuando Blockaid informó una brecha en el TokenBridge de Alephium. Tres de las cuatro claves de guardianes fueron comprometidas, permitiendo a los atacantes forjar VAAs y drenar $815,000 en siete minutos. Los atacantes acuñaron 13,76 millones de ALPH envueltos sin depositar activos reales, creando efectivamente tokens de la nada. El exploit DeFi expuso brechas de seguridad críticas en la infraestructura entre cadenas.

Cinco meses dentro de 2026, y los ataques continúan. Blockaid, una empresa de seguridad blockchain, descubrió una nueva vulnerabilidad que apunta al Alephium TokenBridge de ethereum el 30 de mayo.

Según la investigación, tres de las cuatro claves de guardián comprometidas que firmaron VAAs falsificados (Verified Action Approvals) se utilizaron para vaciar $815,000 en siete minutos.

¿Cómo se vieron comprometidas las claves de guardián?

Para contexto, Alephium TokenBridge es un puente que conecta Ethereum y la cadena de bloques Alephium.

anuncio

Cuando los usuarios cambian de Alephium a Ethereum [ETH], el ALPH real se bloquea en una sola cadena. En adelante, Ethereum se utiliza para acuñar una versión envuelta (wALPH).

Antes de permitir que se realice la acuñación, tres guardianes del puente confirman que el bloqueo se realizó efectivamente. Además, para verificar las transferencias entre cadenas, el sistema utiliza firmas de guardianes.

Para que un mensaje de transferencia sea aprobado por el puente, tres de los cuatro guardianes deben firmarlo. Sin embargo, en el ataque al Alephium TokenBridge, las tres claves privadas de los guardianes fueron de alguna manera obtenidas por los atacantes.

Después de obtener esas claves, fabricaron mensajes falsos de puente conocidos como VAAs y los hicieron parecer auténticos.

El giro de la ‘acuñación’

Además de acuñar ALPH, las VAAs forjadas le dieron al puente instrucciones para liberar activos que ya estaban arrestados.

Como resultado de que los atacantes convencieron al puente de que habían habido retiros válidos, Tether [USDT], USD Coin [USDC], Bitcoin Envuelto (WBTC) y Ether Envuelto (WETH) fueron desbloqueados.

Sin realizar un depósito real de ALPH, los atacantes crearon 13,76 millones de ALPH envuelto. Según Blockaid, esto superó el 100% de la oferta envuelta previamente disponible.

En otras palabras, el atacante produjo esencialmente una gran cantidad de activos respaldados por ALPH de la nada.

Ataques similares en el pasado

Esto se asemeja al Wormhole Bridge Exploit, en el que los atacantes crearon activos que nunca estuvieron respaldados por garantía y falsificaron mensajes de puente.

Además, esto siguió a un ataque reciente al puente Verus-Ethereum, que agotó aproximadamente $11,58 millones.

Resumen final

  • En este ataque, tres de las cuatro claves de guardián comprometidas resultaron en la extracción de $815,000 en solo siete minutos.
  • Los atacantes acuñaron 13,76 millones de ALPH envuelto sin depositar realmente ningún ALPH.
Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información. Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.