Most token bridge Alephium wykorzystany na 815 tys. dolarów, gdy hakerzy wybijają miliony niepokrytych ALPH

Hakerzy wypłacili z Token Bridge Alephium na Ethereum około 815 000 dolarów. Wybili 13,76 miliona opakowanych tokenów ALPH z fałszywych transakcji, co skłoniło projekt do ostrzeżenia dostawców płynności o natychmiastowym wycofaniu środków.

Ten exploit dołącza do rosnącej liczby ataków na mosty, które miały miejsce w maju. Most Verus-Ethereum stracił około 11,5 miliona dolarów w ataku 18 maja, podczas gdy Cryptopolitan poinformował wcześniej 30 maja, że Gravity Bridge stracił 5,4 miliona dolarów – tego samego dnia, gdy TokenBridge Alephium padł ofiarą exploita.

Co sprawiło, że atak zakończył się sukcesem?

Firma zajmująca się bezpieczeństwem blockchain Blockaid wykryła exploit i poinformowała, że atakujący skompromitował trzy z czterech kluczy strażników chroniących most. Po uzyskaniu kontroli nad podpisującą większością atakujący sfałszował Verified Action Approvals (VAA) – kryptograficzne wiadomości autoryzujące transfery między łańcuchami.

Według Blockaid cała operacja zajęła około siedmiu minut. Atakujący użył sfałszowanych VAA do wybicia 13,76 miliona opakowanych ALPH, co podobno stanowi ponad 100% wcześniejszej opakowanej podaży tokena. Dodatkowe aktywa, w tym USDT, USDC, WBTC i WETH, zostały odblokowane z kontraktu powierniczego mostu.

Analityk on-chain Specter zauważył, że atak uderzył zarówno w kontrakty mostów na Ethereum, jak i BNB Chain. Specter stwierdził, że atakujący przeniósł skradzione środki z BNB Chain na Ethereum, a część z nich została już wpłacona do Tornado Cash, zgodnie z analizą Spectera opublikowaną na X.

Alephium zaprzecza kompromitacji kluczy strażników 

Jednak Alephium opublikował kolejne aktualizacje kwestionujące zgłoszenie Blockaid, stwierdzając: „Exploit NIE był spowodowany kompromitacją kluczy strażników, wbrew niektórym wczesnym zewnętrznym raportom." 

Według protokołu exploit był „spowodowany podatnością offchain w backendzie mostu, którą można było wywołać w określonych przypadkach brzegowych."

Alephium przedstawił zestawienie środków wypłaconych z Ethereum i BNB, stwierdzając, że z pierwszego zabrano 200 967 USDT, 17 594 USDC, 5,18 WETH i 0,335 WBTC, natomiast z BNB zabrano 36 750 USDT i 24,386 WBNB.

Alephium wzywa dostawców płynności do wycofania środków

Alephium ostrzegł również wszystkich dostarczających płynność do pul ALPH na Uniswap lub PancakeSwap.

W kolejnej aktualizacji platforma szczegółowo wyjaśniła, dlaczego poprosiła użytkowników o wycofanie płynności, stwierdzając: „Ponieważ most został zamknięty, atakujący nie może wykupić ani przenieść tych opakowanych ALPH z powrotem przez most Alephium. Dlatego prosimy użytkowników, aby nie dostarczali płynności do pul ALPH na Ethereum lub BNB Chain, wycofali wszelką istniejącą płynność i nie dokonywali swapów w tych pulach", dodając, że „Dodatkowa płynność lub aktywność handlowa zwiększyłaby zdolność atakującego do czerpania wartości z nieautoryzowanych opakowanych ALPH."

ALPH jest obecnie notowany po 0,037 dolarów z kapitalizacją rynkową ponad 5 milionów dolarów, podczas gdy całkowita zablokowana wartość (TVL) w protokołach DeFi Alephium wynosiła około 756 000 dolarów, a bridged TVL przekraczał 308 000 dolarów, według danych DefiLlama.

Zespół Alephium oświadczył, że obecnie koncentruje się na działaniach naprawczych i usuwaniu skutków ataku, obiecując udostępnienie kolejnych aktualizacji w nadchodzącym tygodniu.

Brutalny miesiąc dla mostów

Exploit Alephium dołącza do tego, co stało się niezwykle ciężkim okresem dla infrastruktury cross-chain. 

W ataku na Gravity Bridge, również zgłoszonym tego samego dnia, wypłacono 5,4 miliona dolarów w wyniku tego, co analitycy on-chain podejrzewają jako kompromitację klucza kontraktu, według doniesień Cryptopolitan.

Około dwa tygodnie wcześniej most Verus-Ethereum stracił 11,5 miliona dolarów w exploicie polegającym na ominięciu weryfikacji, według bazy danych włamań DefiLlama. THORChain również padł ofiarą skoordynowanego ataku na 10 milionów dolarów na Bitcoin, Ethereum, BNB Chain i Base 15 maja, jak podał Cryptopolitan.

Mosty cross-chain ostatnio odnotowały zwiększoną liczbę ataków ze strony złośliwych podmiotów i łącznie straciły ponad 326 milionów dolarów tylko w 2026 roku do połowy maja. 

Protokoły mostów odpowiadają za 3,2 miliarda dolarów z 16,6 miliarda dolarów łącznej wartości zhakowanej w całej historii kryptowalut, według DefiLlama – nieproporcjonalnie duży udział biorąc pod uwagę stosunkowo małą liczbę protokołów mostów w porównaniu z innymi kategoriami DeFi.

Trwała podatność tych platform i rosnąca częstotliwość ataków od kwietnia do maja sprawiły, że trudno ignorować ten wzorzec.

Nie tylko czytaj wiadomości o kryptowalutach. Zrozum je. Zapisz się do naszego newslettera. To bezpłatne.