Головна
Новини
Детальніше

Експлуатація TokenBridge Ethereum Alephium викрадає $815 000 за 7 хвилин

iconAMBCrypto
Поділитися
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$1 846,83-2,99%
AI summary iconКороткий зміст

expand icon
Експлуатація DeFi вплинула на новини про ethereum 30 травня, коли Blockaid повідомив про порушення безпеки в TokenBridge Alephium. Було скомпрометовано три з чотирьох ключів-опікунів, що дозволило нападникам підробляти VAAs та вивести $815 000 за сім хвилин. Нападники випустили 13,76 мільйона обгорнутих ALPH без внесення реальних активів, ефективно створивши токени з нічого. Експлуатація DeFi виявила критичні пробіли в безпеці міжланцюгової інфраструктури.

П’ять місяців по тому, як розпочався 2026 рік, атаки продовжуються. Blockaid, компанія з безпеки блокчейну, виявила новий експлойт, спрямований на Alephium TokenBridge ethereum 30 травня.

За результатами розслідування, три з чотирьох скомпрометованих ключів-опікунів, які підписали підроблені VAAs (Verified Action Approvals), були використані для виведення $815 000 за сім хвилин.

Як були скомпрометовані ключі охоронців?

Для контексту, Alephium TokenBridge — це міст, що з’єднує ethereum та блокчейн Alephium.

оголошення

Коли користувачі переключаються з Alephium на Ethereum [ETH], справжні ALPH блокуються на одному ланцюзі. Далі Ethereum використовується для створення обгорнутої версії (wALPH).

Перед тим як дозволити процес чекання, три охоронці моста підтверджують, що блокування було справді виконане. Крім того, для перевірки міжланцюгових переказів система використовує підписи охоронців.

Для того щоб повідомлення про переказ було схвалене мостом, три з чотирьох охоронців повинні підписати його. Однак у атакі на Alephium TokenBridge три приватні ключі охоронців якось отримали нападники.

Після отримання цих ключів вони створили фальшиві мостові повідомлення, відомі як VAAs, і зробили їх схожими на справжні.

«Мінтинг»-поворот

Крім створення ALPH, підписані VAAs надали мосту інструкції щодо вивільнення активів, які вже були арештовані.

Як наслідок того, що нападники переконали міст у наявності дійсних виведень, Tether [USDT], USD Coin [USDC], Wrapped Bitcoin (WBTC) та Wrapped Ether (WETH) були розблоковані.

Не роблячи реального депозиту ALPH, нападники створили 13,76 мільйона обгорнутих ALPH. За даними Blockaid, це більше ніж 100% від раніше доступної кількості обгорнутих ALPH.

Іншими словами, атакуючий суттєво створив величезну кількість активів, забезпечених ALPH, з нізвідки.

Подібні атаки в минулому

Це схоже на експлойт моста Wormhole, у якому нападники створили активи, які ніколи не підтримувалися забезпеченням, та підробили повідомлення моста.

Крім того, це відбулося після недавньої атаки на міст Verus-Ethereum, внаслідок якої було виведено приблизно 11,58 мільйона доларів США.

Остаточний підсумок

  • У цій атаку три з чотирьох скомпрометованих ключів охоронців призвели до виведення $815 000 лише за сім хвилин.
  • Зловмисники випустили 13,76 мільйона обгорнутих ALPH, не вносячи жодного ALPH.
Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації. Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.