Accueil
Actualités
Détails

Pont cross-chain d'Alephium piraté, 815 000 $ volés en 7 minutes

icon币界网
Partager
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
USDT
----
This is the logo of the coin.
USDC
$1,00080 %
This is the logo of the coin.
WBTC
$63 350,260,34 %
AI summary iconRésumé

expand icon
Actualités sur la chaîne : le TokenBridge d'Alephium a été piraté le 30 mai, avec 815 000 $ volés en 7 minutes. L'attaquant contrôlait 3 des 4 clés de garde, a falsifié des messages d'approbation et a vidé les comptes de USDT, USDC, WBTC et WETH. Plus de 13,76 millions de wALPH ont été créés sans dépôt. Actualités sur les actifs du monde réel (RWA) : cet incident reflète les attaques passées sur des ponts, révélant les risques liés à la gestion des clés et aux systèmes multi-sig.
CoinGape rapporte :

Le TokenBridge reliant Ethereum et Alephium a été attaqué le 30 mai. La société de sécurité blockchain Blockaid a indiqué que l'attaquant avait pris le contrôle de 3 des 4 clés de gardien, permettant de falsifier des messages d'approbation interchaînes et de transférer environ 815 000 dollars d'actifs en environ 7 minutes.

Le point d'attaque se trouve dans la signature du gardien

Alephium TokenBridge permet de connecter Ethereum et la chaîne Alephium. Lorsqu'un utilisateur transfère des ALPH d'Alephium vers Ethereum, les actifs natifs sont d'abord verrouillés d'un côté, puis des actifs encapsulés correspondants, wALPH, sont créés sur Ethereum.

Ce processus repose sur la signature des gardiens pour confirmer la validité des messages cross-chain. Conformément à la conception du pont, au moins 3 des 4 gardiens doivent signer pour approuver le message de transfert. Blockaid a indiqué que l'attaquant a obtenu les clés privées de 3 des gardiens, lui permettant ainsi de falsifier des VAA apparemment valides, c'est-à-dire les messages d'approbation cross-chain.

Release multiple assets after forging a message

Après avoir obtenu la capacité de signature, l'attaquant a non seulement falsifié le processus de création de wALPH, mais a également induit la passerelle en erreur lors de l'exécution de la libération d'actifs. La passerelle a identifié ces messages falsifiés comme des retraits valides, débloquant ainsi plusieurs actifs initialement détenus par la passerelle.

  • USDT
  • USDC
  • WBTC
  • WETH

Blockaid a également indiqué que les attaquants ont forgé 13,76 millions de wALPH supplémentaires sans déposer réellement d'ALPH. Ce montant dépasse la totalité de l'offre encapsulée précédemment en circulation, ce qui signifie que ces actifs ne sont pas soutenus par une garantie réelle.

Similaire aux attaques passées sur des ponts cross-chain

Cet événement présente des similitudes avec l'attaque précédente sur le pont cross-chain Wormhole. Les deux impliquent la falsification de messages cross-chain et la création d'actifs non soutenus par une couverture suffisante.

L'article mentionne également qu'un pont cross-chain entre Verus et Ethereum a récemment été attaqué, entraînant une perte d'environ 11,58 millions de dollars. Les incidents récents sur les ponts cross-chain révèlent une fois de plus que la vérification multi-signature et la gestion des clés restent les principaux points de risque pour les protocoles de pont.

Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.