Токен-мост Alephium взломан на $815K: хакеры выпустили миллионы необеспеченных ALPH

Хакеры вывели около 815 000$ из Token Bridge Alephium на блокчейне Ethereum. Они выпустили 13,76 миллиона wrapped ALPH токенов через поддельные транзакции, что побудило проект предупредить провайдеров ликвидности о необходимости немедленно вывести свои средства.

Этот эксплойт дополняет растущее число атак на мосты, произошедших в мае. Кроссчейн-мост Verus-Ethereum потерял около 11,5 миллиона$ в результате атаки 18 мая, тогда как Cryptopolitan ранее сообщил 30 мая, что Gravity Bridge потерял 5,4 миллиона$ — в тот же день, когда TokenBridge Alephium подвергся эксплойту.

Что позволило атаке увенчаться успехом?

Компания по безопасности блокчейна Blockaid обнаружила эксплойт и сообщила, что злоумышленник скомпрометировал три из четырёх ключей хранителей, защищающих мост. Получив контроль над подписным большинством, злоумышленник подделал Verified Action Approvals (VAA) — криптографические сообщения, которые авторизуют кросс-чейн переводы.

По данным Blockaid, вся операция заняла около семи минут. Злоумышленник использовал поддельные VAA для выпуска 13,76 миллиона wrapped ALPH, что предположительно превышает 100% от предыдущего wrapped предложения токена. Дополнительные активы, включая USDT, USDC, WBTC и WETH, были разблокированы из кастодиального контракта моста.

Аналитик блокчейна Specter отметил, что атака затронула контракты кроссчейн-мостов как на Ethereum, так и на BNB Chain. По словам Specter, злоумышленник затем перевёл похищенные средства из BNB Chain в Ethereum, и часть из них уже была внесена в Tornado Cash, согласно анализу Specter, опубликованному в X.

Alephium отрицает компрометацию ключей хранителей 

Тем не менее Alephium опубликовал дополнительные обновления, оспаривающие версию Blockaid, заявив: «Эксплойт НЕ был вызван компрометацией ключей хранителей, вопреки некоторым ранним внешним сообщениям». 

По словам протокола, эксплойт был «вызван внецепочечной уязвимостью в бэкенде моста, которую можно было активировать в определённых граничных случаях».

Alephium предоставил разбивку средств, выведенных через Ethereum и BNB, указав, что с первого были похищены 200 967 USDT, 17 594 USDC, 5,18 WETH и 0,335 WBTC, тогда как с BNB — 36 750 USDT и 24,386 WBNB.

Alephium призывает провайдеров ликвидности вывести средства

Alephium также предупредил всех, кто предоставляет ликвидность в пулы ALPH на Uniswap или PancakeSwap.

В последующем обновлении платформа подробно объяснила, почему она попросила пользователей вывести ликвидность, заявив: «Поскольку мост был отключён, злоумышленник не может погасить или перебросить эти wrapped ALPH обратно через мост Alephium. Поэтому мы просим пользователей не предоставлять ликвидность в пулы ALPH на Ethereum или BNB Chain, вывести существующую ликвидность и не совершать свопы в этих пулах», добавив, что «дополнительная ликвидность или торговая активность увеличат способность злоумышленника извлечь выгоду из несанкционированных wrapped ALPH».

ALPH в настоящее время торгуется по 0,037$ с рыночной капитализацией свыше 5 миллионов$, тогда как общая заблокированная стоимость (TVL) в DeFi протоколах Alephium составляет около 756 000$, а объём bridged TVL превышает 308 000$ согласно данным DefiLlama.

Команда Alephium заявила, что в настоящее время сосредоточена на восстановлении и устранении последствий, и пообещала поделиться дополнительными обновлениями в ближайшую неделю.

Жестокий месяц для мостов

Эксплойт Alephium дополняет то, что превратилось в тяжёлый период для кросс-чейн инфраструктуры. 

Взлом Gravity Bridge, также сообщённый в тот же день, привёл к выводу 5,4 миллиона$ через то, что аналитики блокчейна подозревают как компрометацию ключа контракта, согласно репортажу Cryptopolitan.

Примерно двумя неделями ранее кроссчейн-мост Verus-Ethereum потерял 11,5 миллиона$ в результате эксплойта обхода верификации, согласно базе данных взломов DefiLlama. THORChain также подвергся скоординированной атаке на 10 миллионов$ на Bitcoin, Ethereum, BNB Chain и Base 15 мая, как сообщил Cryptopolitan.

Кроссчейн-мосты в последнее время сталкиваются с участившимися атаками со стороны злоумышленников, и только за 2026 год по состоянию на середину мая они совокупно потеряли свыше 326 миллионов$. 

Протоколы мостов составляют 3,2 миллиарда$ из 16,6 миллиарда$ общей суммы, взломанной в криптовалютной истории, согласно DefiLlama, — непропорционально большая доля с учётом относительно небольшого числа протоколов мостов по сравнению с другими категориями DeFi.

Постоянная уязвимость этих платформ и растущая частота атак с апреля по май делают эту тенденцию невозможной для игнорирования.

Не просто читайте крипто новости. Понимайте их. Подпишитесь на нашу рассылку. Это бесплатно.