O TokenBridge da Alephium (ALPH) foi esvaziado de aproximadamente US$ 815.000 após um atacante explorar uma falha que permitiu mensagens falsificadas passarem pela rede de guardiões do protocolo e autorizar transferências fraudulentas de tokens.
A equipe do Alephium confirmou que a empresa de segurança blockchain Blockaid foi a primeira a detectar a exploração. A unidade de resposta de emergência SEAL_911 da Security Alliance também forneceu assistência e prontidão durante toda a investigação subsequente.
Exploração drena US$ 815.000 em menos de 7 minutos
O atacante transferiu fundos do Alephium TokenBridge tanto na Ethereum quanto na BNB Chain em aproximadamente sete minutos. Na Ethereum, os prejuízos incluíram 200.967 Tether (USDT), 17.594 USD Coin (USDC), 5,18 Wrapped Ether (WETH) e 0,335 Wrapped Bitcoin (WBTC).
Mais 36.750 USDT e 24,386 Wrapped BNB foram removidos do lado da BNB Chain da ponte. O atacante também cunhou 13,76 milhões de Wrapped ALPH não lastreados e os transferiu diretamente para sua carteira.
Alephium desativou a ponte e afirmou que está explorando todas as opções para compensar os usuários afetados.
O incidente agrava o quadro negativo para a infraestrutura cross-chain em 2026. Perdas por ataques cripto em abril atingiram US$ 606 milhões, e o total de ataques DeFi em maio continua a aumentar à medida que se aproxima junho.
Um CrossCurve bridge exploit e um exploit do Hyperbridge, ambos revisados para US$ 2,5 milhões, também contribuíram para o total do ano.
Mensagens Forjadas, Não Chaves Roubadas
Desenvolvedores construíram o Alephium TokenBridge em um fork do protocolo Wormhole, que depende de uma rede de guardiões para validar mensagens entre cadeias. Um quórum de guardiões deve aprovar qualquer transferência, tornando a capacidade de injetar mensagens fraudulentas uma vulnerabilidade de alto impacto.
Relatos iniciais atribuíram a violação a chaves privadas de guardiões comprometidas, estabelecendo comparações com a compromissão da chave da Gravity Bridge que custou US$ 5,4 milhões no início de 2026. A atualização pós-incidente da Alephium contradiz essa abordagem.
“A exploração não parece ter envolvido a compromissão das chaves privadas dos guardiões. Em vez disso, parece ter envolvido uma exploração que permitiu que eventos/mensagens falsificadas e maliciosas fossem observadas e assinadas pelos guardiões,” diz Alephium
A distinção importa. Um ponto crítico de compromisso para uma falha operacional, enquanto um ataque de mensagem falsificada indica uma falha na forma como a ponte validou os dados recebidos antes de apresentá-los aos guardiões.
Uma dinâmica semelhante surgiu na exploração da ponte Polkadot, onde o atacante validou fraudulentamente transações e cunhou tokens não lastreados. A Alephium disse que um relatório técnico completo da sua equipe será divulgado em breve.