TokenBridge Alephium (ALPH) було виведено на суму близько 815 000 доларів США після того, як нападник використав вразливість, що дозволила підроблені повідомлення пройти через мережу охоронців протоколу та авторизувати шахрайські перекази токенів.
Команда Alephium підтвердила, що фірма з безпеки блокчейну Blockaid першою виявила експлойт. Екстрена реагуюча одиниця Security Alliance SEAL_911 також надала допомогу та оперативну відповідь протягом усієї наступної розслідування.
Експлойт викрав $815 000 за менше ніж 7 хвилин
Зловмисник перемістив кошти з Alephium TokenBridge на Ethereum та BNB Chain за приблизно сім хвилин. На Ethereum збитки включали 200 967 Tether (USDT), 17 594 USD Coin (USDC), 5,18 Wrapped Ether (WETH) та 0,335 Wrapped Bitcoin (WBTC).
Додатково 36 750 USDT і 24,386 Wrapped BNB було вилучено з боку BNB Chain моста. Зловмисник також створив 13,76 мільйона непідтримуваних Wrapped ALPH і передав їх безпосередньо на свій гаманець.
Alephium припинила роботу моста і заявила, що розглядає всі варіанти, щоб повністю відшкодувати постраждалих користувачів.
Цей інцидент погіршує загальну картину для крос-ланцюгової інфраструктури у 2026 році. Втрати від хаків у криптовалюті у квітні досягли $606 мільйонів, а загальна сума втрат від хаків у DeFi у травні продовжує зростати на шляху до червня.
Експлуатація CrossCurve bridge та експлуатація Hyperbridge, обидві переглянуті до $2,5 мільйона, також внесли свій внесок у загальну суму року.
Підроблені повідомлення, а не вкрадені ключі
Розробники створили Alephium TokenBridge на форку протоколу Wormhole, який залежить від мережі сторожів для перевірки міжланцюгових повідомлень. Для будь-якого переказу необхідна підписка кворуму сторожів, що робить можливість введення шахрайських повідомлень вразливістю високого рівня впливу.
Початкові звіти приписували порушення компрометації приватних ключів охоронців, порівнюючи це з компрометацією ключів Gravity Bridge, яка коштувала $5,4 мільйона на початку 2026 року. Оновлення Alephium після інциденту суперечить цьому формулюванню.
Експлойт, схоже, не пов’язаний із компрометацією приватних ключів охоронців. Натомість, здається, було використано експлойт, який дозволив спостерігати та підписувати охоронцями підроблені зловмисні події/повідомлення,” каже Alephium
Різниця має значення. Ключовий пункт компромісу при експлуатаційній невдачі, тоді як атака з підробленим повідомленням вказує на недолік у тому, як міст перевіряв вхідні дані перед поданням їх опікунам.
Подібна динаміка виникла під час експлуатації моста Polkadot, коли атакуючий незаконно підтвердив транзакції та випустив невибачені токени. Alephium повідомив, що повний технічний аналіз від його команди буде надано найближчим часом.