Le TokenBridge d'Alephium (ALPH) a été vidé d'environ 815 000 $ après qu'un attaquant a exploité une faille permettant à des messages falsifiés de traverser le réseau de gardiens du protocole et d'autoriser des transferts de jetons frauduleux.
L'équipe d'Alephium a confirmé que l'entreprise de sécurité blockchain Blockaid a été la première à détecter l'exploit. L'unité de réponse d'urgence SEAL_911 de l'Alliance de sécurité a également fourni une assistance et une réactivité tout au long de l'enquête suivante.
Exploitation vide 815 000 $ en moins de 7 minutes
L'attaquant a transféré les fonds depuis le Alephium TokenBridge sur Ethereum et BNB Chain en environ sept minutes. Sur Ethereum, les pertes ont inclus 200 967 Tether (USDT), 17 594 USD Coin (USDC), 5,18 Wrapped Ether (WETH) et 0,335 Wrapped Bitcoin (WBTC).
Un supplément de 36 750 USDT et 24,386 Wrapped BNB a été retiré du côté BNB Chain du pont. L'attaquant a également émis 13,76 million de Wrapped ALPH non garantis et les a transférés directement à son wallet.
Alephium a arrêté le pont et a déclaré qu'elle examine toutes les options pour indemniser les utilisateurs concernés.
L'incident aggrave le tableau préoccupant de l'infrastructure cross-chain en 2026. Les pertes dues aux piratages de crypto en avril ont atteint 606 millions de dollars, et le bilan des piratages DeFi de mai continue d'augmenter à l'approche de juin.
Une exploitation de la passerelle CrossCurve et une exploitation de la passerelle Hyperbridge, toutes deux révisées à 2,5 millions de dollars, ont également contribué au total de l'année.
Messages falsifiés, pas de clés volées
Les développeurs ont construit Alephium TokenBridge sur un fork du protocole Wormhole, qui repose sur un réseau de gardiens pour valider les messages interchaînes. Une quorum de gardiens doit approuver tout transfert, ce qui rend la possibilité d'injecter des messages frauduleux une vulnérabilité à impact élevé.
Les premiers rapports ont attribué la violation à la compromission des clés privées des gardiens, suscitant des comparaisons avec la compromission des clés du Gravity Bridge qui avait coûté 5,4 millions de dollars plus tôt en 2026. La mise à jour post-incident d'Alephium contredit cette interprétation.
L'exploitation ne semble pas avoir impliqué une compromission des clés privées des gardiens. Au contraire, il semble qu'elle ait impliqué une exploitation permettant à des événements/messages malveillants falsifiés d'être observés et signés par les gardiens », déclare Alephium
La distinction est importante. Un point de compromis clé menant à une défaillance opérationnelle, tandis qu'une attaque par message falsifié indique une faille dans la manière dont la passerelle a validé les données entrantes avant de les présenter aux gardiens.
Une dynamique similaire s'est produite lors de l'exploitation du pont Polkadot, où l'attaquant a frauduleusement validé des transactions et créé des jetons non garantis. Alephium a déclaré qu'un bilan technique complet de son équipe sera bientôt publié.