TokenBridge Alephium (ALPH) был обесценен на сумму около 815 000 долларов США после того, как злоумышленник воспользовался уязвимостью, позволившей поддельные сообщения пройти через сеть защитников протокола и авторизовать мошеннические переводы токенов.
Команда Alephium подтвердила, что компания по безопасности блокчейна Blockaid первой обнаружила эксплуатацию уязвимости. Единица экстренного реагирования Security Alliance SEAL_911 также оказала содействие и проявила оперативность в ходе последующего расследования.
Эксплуатация позволяет украсть 815 000 долларов менее чем за 7 минут
Злоумышленник переместил средства из Alephium TokenBridge как в сети Ethereum, так и в сети BNB Chain примерно за семь минут. В сети Ethereum потери включали 200 967 Tether (USDT), 17 594 USD Coin (USDC), 5,18 Wrapped Ether (WETH) и 0,335 Wrapped Bitcoin (WBTC).
Дополнительно 36 750 USDT и 24,386 Wrapped BNB были удалены с стороны BNB Chain моста. Злоумышленник также создал 13,76 миллиона непокрытыхWrapped ALPH и перевел их непосредственно на свой кошелек.
Alephium отключила мост и заявила, что рассматривает все варианты для компенсации пострадавших пользователей.
Инцидент усугубляет неблагоприятную картину для кросс-чейн инфраструктуры в 2026 году. Потери от хаков в апреле достигли 606 миллионов долларов, а сумма хаков DeFi в мае продолжает расти по мере приближения к июню.
Эксплуатация моста CrossCurve и эксплуатация моста Hyperbridge, обе пересмотрены до 2,5 миллиона долларов, также внесли свой вклад в итоговую сумму года.
Поддельные сообщения, а не украденные ключи
Разработчики создали Alephium TokenBridge на основе форка протокола Wormhole, который использует сеть хранителей для проверки межцепочечных сообщений. Для любого перевода необходимо согласие кворума хранителей, что делает возможность внесения фальшивых сообщений уязвимостью высокого уровня.
Первоначальные сообщения приписывали взлом компрометированным закрытым ключам сторожей, сравнивая это с компрометацией ключей Gravity Bridge, которая обошлась в 5,4 миллиона долларов в начале 2026 года. Последующее обновление Alephium противоречит этой трактовке.
Эксплуатация, по всей видимости, не связана с компрометацией частных ключей хранителей. Вместо этого, похоже, была использована уязвимость, позволившая хранителям наблюдать и подписывать поддельные вредоносные события/сообщения», — говорит Alephium
Различие имеет значение. Ключевая точка компромисса, приводящая к сбою в работе, в то время как атака поддельного сообщения указывает на недостаток в том, как мост проверял входящие данные перед передачей их опекунам.
Аналогичная ситуация возникла при эксплуатации уязвимости в мосту Polkadot, когда злоумышленник мошеннически подтвердил транзакции и выпустил непокрытые токены. Alephium сообщила, что полный технический анализ от её команды будет опубликован в ближайшее время.