Uma ponte cross-chain que liga a rede Alephium (ALPH) ao Ethereum (ETH) e à BNB Chain perdeu cerca de US$ 815.000 em aproximadamente sete minutos, depois que invasores forçaram mensagens forjadas através do backend.
Pontos-chave:
- Invasores drenaram cerca de US$ 815.000 da TokenBridge da Alephium em duas redes em aproximadamente sete minutos.
- Eles cunharam 13,76 milhões de wrapped ALPH sem lastro, mais do que todo o suprimento wrapped anterior da ponte.
- A Alephium culpa uma falha de backend off-chain, não chaves de guardiões roubadas, e prometeu reembolsar os usuários afetados.
TokenBridge da Alephium drenada rapidamente
A empresa de segurança Blockaid primeiro detectou o ataque em 30 de maio, com a unidade de resposta voluntária SEAL 911 entrando rapidamente na investigação. O invasor empurrou aprovações de transferência fabricadas pela TokenBridge tanto no Ethereum quanto na BNB Chain, drenou as reservas e cunhou novos tokens.
Toda a sequência levou cerca de sete minutos.
No Ethereum, o ladrão levou 200.967 Tether (USDT), 17.594 USD Coin (USDC) e menores quantidades de Wrapped Ether e Wrapped Bitcoin, enquanto o lado da BNB Chain perdeu 36.750 USDT e 24,386 Wrapped BNB. A mesma carteira também cunhou 13,76 milhões de wrapped ALPH sem nenhum ALPH real bloqueado como lastro.
Esse saque superou todo o suprimento wrapped anterior da ponte, deixando o invasor com moedas criadas do nada.
Também leia: Cardano Tops Every Major Chain In Stablecoin Growth, Up 61% In A Week
Falha off-chain, não chaves roubadas
Relatos iniciais atribuíram a violação a três de quatro chaves de guardiões comprometidas, mas a Alephium depois disse que a verdadeira causa foi um bug off-chain no backend da ponte, e a Blockaid suavizou sua primeira leitura para coincidir. O projeto roda um fork privado do sistema de mensagens Wormhole com apenas quatro signatários, então a mesma falha pode estar presente em outras pontes construídas sobre código semelhante.
A mudança na causa redefiniu todo o incidente.
Alephium promete reembolsar usuários
A Alephium interrompeu a ponte, instou os detentores a retirarem liquidez dos pools de ALPH e prometeu um caminho de recuperação para os usuários cujas moedas permaneceram bloqueadas. Com a ponte offline, o invasor não pode empurrar o wrapped ALPH sem lastro de volta por ela, e os fundos roubados permaneciam imóveis na carteira no momento da divulgação. A equipe afirma que está avaliando todas as opções para tornar os usuários afetados íntegros, com um relatório pós-morte completo previsto para esta semana.
A violação estende um período difícil para as pontes cross-chain, a infraestrutura que transporta ativos entre diferentes blockchains.
Um ataque recente à ponte Verus-Ethereum drenou cerca de US$ 11,58 milhões, e a tática de mensagens forjadas lembra a perda de mais de US$ 320 milhões da Wormhole anos antes. Um levantamento estimou que maio registrou mais de US$ 52 milhões em cripto roubada em todo o setor.
Leia em seguida: ETH Loses Its Last Floor And Stares Down A Drop Toward $1,800