Кроссчейн‑мост, связывающий сеть Alephium (ALPH) с Ethereum (ETH) и сетью BNB, потерял примерно $815 000 примерно за семь минут после того, как атакующие протолкнули поддельные сообщения через его бэкенд.
Ключевые моменты:
- Злоумышленники вывели около $815 000 из Alephium TokenBridge в двух сетях примерно за семь минут.
- Они выпустили 13,76 млн необеспеченных обёрнутых ALPH — больше, чем весь прежний объём обёрнутых токенов моста.
- Alephium винит off-chain уязвимость бэкенда, а не украденные ключи хранителей, и пообещал возместить убытки пострадавшим пользователям.
Alephium TokenBridge опустошили за минуты
Компания по кибербезопасности Blockaid первой зафиксировала атаку 30 мая, после чего к расследованию быстро подключилось волонтёрское подразделение SEAL 911. Атакующий протолкнул поддельные одобрения переводов через TokenBridge как в сети Ethereum, так и в сети BNB Chain, опустошил резервы и выпустил новые токены.
Вся последовательность заняла около семи минут.
В сети Ethereum злоумышленник забрал 200 967 Tether (USDT), 17 594 USD Coin (USDC) и меньшие суммы Wrapped Ether и Wrapped Bitcoin, тогда как на стороне BNB Chain было выведено 36 750 USDT и 24,386 Wrapped BNB. Тот же кошелёк также выпустил 13,76 млн обёрнутых ALPH без какого‑либо настоящего ALPH, заблокированного в их обеспечение.
Эта добыча превысила весь прежний объём обёрнутых токенов моста, оставив злоумышленнику монеты, буквально созданные из воздуха.
Также читайте: Cardano Tops Every Major Chain In Stablecoin Growth, Up 61% In A Week
Off-chain уязвимость, а не украденные ключи
Первые версии объясняли взлом компрометацией трёх из четырёх ключей хранителей, но позже Alephium заявил, что истинной причиной стал баг off-chain в бэкенде моста, и Blockaid смягчил свою первоначальную оценку в ту же сторону. Проект использует приватный форк системы сообщений Wormhole с только четырьмя подписантами, поэтому аналогичная уязвимость может скрываться и в других мостах, построенных на похожем коде.
Изменение версии о причине полностью переосмысливает инцидент.
Alephium обещает возместить убытки пользователям
Alephium остановил работу моста, призвал держателей вывести ликвидность из пулов ALPH и пообещал план восстановления для пользователей, чьи монеты остались заблокированными внутри. С мостом офлайн атакующий не может провести необеспеченные обёрнутые ALPH обратно через него, а украденные средства на момент раскрытия оставались неподвижными на кошельке. Команда заявляет, что рассматривает все варианты, чтобы полностью компенсировать потери пострадавших пользователей, а полный разбор инцидента ожидается на этой неделе.
Взлом продлевает тяжёлую полосу для кроссчейн‑мостов — инфраструктуры, которая перевозит активы между разными блокчейнами.
Недавняя атака на Verus-Ethereum bridge drained about $11.58 million, а тактика с поддельными сообщениями отсылает к утрате более чем $320 млн мостом Wormhole несколько лет назад. Согласно одной оценке, в мае в секторе было украдено свыше $52 млн в криптовалюте.
Read Next: ETH Loses Its Last Floor And Stares Down A Drop Toward $1,800