Most cross-chain łączący sieć Alephium (ALPH) z Ethereum (ETH) i łańcuchem BNB stracił około 815 000 dolarów w mniej więcej siedem minut po tym, jak atakujący przepchnęli przez jego backend sfałszowane komunikaty.
Kluczowe punkty:
- Atakujący wyprowadzili około 815 000 dolarów z TokenBridge Alephium na dwóch łańcuchach w ciągu około siedmiu minut.
- Wybili 13,76 miliona niepopartych wrapped ALPH, więcej niż cały wcześniejszy wrapped supply mostu.
- Alephium obwinia lukę w backendzie off‑chain, a nie skradzione klucze guardian, i zobowiązuje się do spłaty poszkodowanych użytkowników.
TokenBridge Alephium szybko wyczyszczony
Firma bezpieczeństwa Blockaid najpierw wykryła atak 30 maja, a ochotnicza jednostka reagowania SEAL 911 szybko dołączyła do dochodzenia. Atakujący przepchnął sfabrykowane zgody na transfer przez TokenBridge zarówno na Ethereum, jak i na BNB Chain, opróżnił rezerwy i wybił nowe tokeny.
Cała sekwencja zajęła około siedmiu minut.
Na Ethereum złodziej zabrał 200 967 Tether (USDT), 17 594 USD Coin (USDC) oraz mniejsze ilości Wrapped Ether i Wrapped Bitcoin, podczas gdy po stronie BNB Chain wyprowadzono 36 750 USDT i 24,386 Wrapped BNB. Ten sam portfel wybił też 13,76 miliona wrapped ALPH bez rzeczywistego ALPH zablokowanego w ich zabezpieczeniu.
Ten łup przewyższył cały dotychczasowy wrapped supply mostu, pozostawiając atakującemu monety dosłownie wykreowane z niczego.
Przeczytaj także: Cardano Tops Every Major Chain In Stablecoin Growth, Up 61% In A Week
Luka off‑chain, nie skradzione klucze
Wczesne relacje przypisywały naruszenie trzem z czterech skompromitowanych kluczy guardian, ale Alephium później stwierdziło, że prawdziwą przyczyną był błąd off‑chain w backendzie mostu, a Blockaid złagodził swoją pierwotną ocenę, by to odzwierciedlić. Projekt korzysta z prywatnego forka systemu komunikatów Wormhole z zaledwie czterema sygnatariuszami, więc ta sama luka może czaić się w innych mostach zbudowanych na podobnym kodzie.
Zmiana przyczyny całkowicie przeformułowuje postrzeganie incydentu.
Alephium obiecuje spłacić użytkowników
Alephium wstrzymało działanie mostu, wezwało posiadaczy do wycofania płynności z pul ALPH i obiecało ścieżkę odzyskania środków dla użytkowników, których monety pozostały zablokowane w środku. Z mostem offline, atakujący nie może przepchnąć niepopartego wrapped ALPH z powrotem przez niego, a skradzione środki w momencie ujawnienia pozostawały nieporuszone w portfelu. Zespół twierdzi, że rozważa każdą opcję, by w pełni zrekompensować poszkodowanych użytkowników, a pełne post‑mortem ma pojawić się w tym tygodniu.
Naruszenie wydłuża trudny okres dla mostów cross‑chain, infrastruktury przenoszącej aktywa między oddzielnymi blockchainami.
Niedawny atak na Verus-Ethereum bridge drained about $11.58 million, a taktyka fałszywych komunikatów przypomina stratę ponad 320 milionów dolarów, jaką Wormhole poniósł kilka lat wcześniej. Jedno zestawienie oszacowało maj na ponad 52 miliony dolarów skradzionej kryptowaluty w całym sektorze.
Następnie czytaj: ETH Loses Its Last Floor And Stares Down A Drop Toward $1,800