11 godzin temu
TokenBridge Alephium (ALPH) stracił około 815 000 USD po ataku wykorzystującym lukę, która pozwoliła fałszywym komunikatom przechodzić przez sieć strażników protokołu i autoryzować nielegalne transfery tokenów.
Zespół Alephium potwierdził, iż firma Blockaid, zajmująca się bezpieczeństwem blockchain, jako pierwsza wykryła ten atak. Jednostka ratunkowa Security Alliance SEAL_911 udzieliła pomocy i wsparcia podczas dalszego śledztwa.
Atak wyprowadza 815 000 USD w mniej niż 7 minut
Atakujący przeniósł środki z TokenBridge Alephium jednocześnie na Ethereum i BNB Chain. Zrobił to w około siedem minut. Na Ethereum straty objęły 200 967 Tether (USDT), 17 594 USD Coin (USDC), 5,18 Wrapped Ether (WETH) oraz 0,335 Wrapped Bitcoin (WBTC).
Dodatkowo z części mostu na BNB Chain zostało zabranych 36 750 USDT i 24,386 Wrapped BNB. Atakujący wybił też 13,76 mln niepokrytych Wrapped ALPH i przesłał je bezpośrednio do swojego portfela.
Alephium wyłączył most i zadeklarował, iż analizuje wszystkie scenariusze zwrotów dla poszkodowanych użytkowników.
A sincere thank you to the @blockaid_ team for being the first to detect the exploit and for their support throughout the investigation.
We would also like to thank the @SEAL_911 team for their assistance and responsiveness during the incident.
The collaboration and… https://t.co/pxEldVyl5Z
To zdarzenie pogarsza sytuację infrastruktury cross-chain w 2026 roku. Straty na skutek hacków kryptowalutowych w kwietniu sięgnęły 606 mln USD. Zestawienie majowych ataków na DeFi dalej rośnie pod koniec maja.
Atak na most CrossCurve oraz atak na Hyperbridge, oba wycenione na 2,5 mln USD, także powiększają tegoroczne straty.
Fałszywe komunikaty, nie skradzione klucze
Deweloperzy oparli TokenBridge Alephium na forku protokołu Wormhole, gdzie sieć strażników potwierdza międzyłańcuchowe komunikaty. Do zatwierdzenia transferu potrzeba zgody odpowiedniej liczby strażników. Możliwość wstrzyknięcia podrobionych wiadomości tworzy więc poważną lukę.
Początkowo przyczynę ataku tłumaczono kradzieżą kluczy prywatnych strażników, co przypominało atak na Gravity Bridge, gdzie w 2026 roku utracono 5,4 mln USD. Alephium w komunikacie po ataku obalił tę interpretację.
„Atak nie wygląda na przejęcie kluczy prywatnych strażników. Zamiast tego chodzi prawdopodobnie o lukę, która pozwoliła na generowanie fałszywych, złośliwych komunikatów, które strażnicy mogli zobaczyć i podpisać.”
To rozróżnienie jest istotne. Przejęcie kluczy świadczy o awarii operacyjnej. Atak fałszywymi komunikatami wskazuje na błąd w sposobie weryfikacji danych przed ich przekazaniem strażnikom.
Podobna sytuacja miała miejsce przy ataku na most Polkadot. Tam przestępca także fałszował transakcje i wybijał niepokryte tokeny. Alephium zapowiada pełne techniczne podsumowanie tego zdarzenia.
BeInCrypto Polska - Fałszywe wiadomości mostu pozwoliły hakerowi ukraść 815 000 USD z Alephium
