Accueil
Actualités
Détails

Exploitation du TokenBridge d'Alephium sur Ethereum vide 815 000 $ en 7 minutes

iconAMBCrypto
Partager
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$1 887,78-4,54 %
AI summary iconRésumé

expand icon
Un exploit DeFi a touché Ethereum le 30 mai, lorsque Blockaid a signalé une violation du TokenBridge d'Alephium. Trois des quatre clés de garde ont été compromises, permettant aux attaquants de falsifier des VAAs et de vider 815 000 $ en sept minutes. Les attaquants ont émis 13,76 millions d'ALPH emballés sans déposer d'actifs réels, créant ainsi des jetons de rien. Cet exploit DeFi a révélé des failles de sécurité critiques dans l'infrastructure interchaînes.

Cinq mois après le début de l'année 2026, les attaques se poursuivent. Blockaid, une entreprise de sécurité blockchain, a découvert une nouvelle exploitation ciblant le TokenBridge Alephium d'Ethereum le 30 mai.

Selon l'enquête, trois des quatre clés de garde compromise ayant signé des VAAs falsifiées (Verified Action Approvals) ont été utilisées pour vider 815 000 $ en sept minutes.

Comment les clés de gardien ont-elles été compromises ?

Pour contexte, Alephium TokenBridge est une passerelle qui relie Ethereum et la blockchain Alephium.

annonce

Lorsque les utilisateurs passent d'Alephium à Ethereum [ETH], le ALPH réel est verrouillé sur une seule chaîne. Par la suite, Ethereum est utilisé pour créer une version enveloppée (wALPH).

Avant de permettre la création, trois gardiens du pont confirment que le verrouillage a bien été effectué. De plus, pour vérifier les transferts interchaînes, le système utilise les signatures des gardiens.

Pour qu'un message de transfert soit approuvé par la passerelle, trois des quatre gardiens doivent le signer. Toutefois, lors de l'attaque sur Alephium TokenBridge, les trois clés privées des gardiens ont été obtenues par les attaquants.

Après avoir obtenu ces clés, ils ont fabriqué des messages de pont falsifiés connus sous le nom de VAAs et les ont rendus authentiques.

Le twist de « minting »

En plus de la création d'ALPH, les VAAs falsifiés ont donné au pont des instructions pour libérer des actifs déjà saisis.

En raison de la conviction des attaquants que des retraits valides avaient eu lieu, Tether [USDT], USD Coin [USDC], Wrapped Bitcoin (WBTC) et Wrapped Ether (WETH) ont été débloqués.

Sans effectuer de dépôt réel d'ALPH, les attaquants ont créé 13,76 millions d'ALPH emballés. Selon Blockaid, cela représentait plus de 100 % de l'offre emballée précédemment disponible.

Autrement dit, l'attaquant a essentiellement créé une vaste quantité d'actifs adossés à ALPH de rien.

Des attaques similaires dans le passé

Cela ressemble à l'exploitation du Wormhole Bridge, durant laquelle les attaquants ont créé des actifs jamais garantis par des collatéraux et falsifié des messages de pont.

De plus, cela fait suite à une récente attaque sur le Verus-Ethereum bridge, qui a épuisé environ 11,58 millions de dollars.

Résumé final

  • Lors de cette attaque, trois clés de gardien compromise sur quatre ont entraîné le vidage de 815 000 $ en seulement sept minutes.
  • Les attaquants ont créé 13,76 millions d'ALPH emballés sans déposer aucun ALPH.
Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.