Alephium (ALPH) ağını Ethereum (ETH) ve BNB Chain ile birbirine bağlayan çapraz zincir köprü, saldırganların arka uca sahte mesajlar zorla iletmesinin ardından yaklaşık yedi dakika içinde kabaca 815.000 dolar kaybetti.
Önemli Noktalar:
- Saldırganlar Alephium'un TokenBridge'inden iki zincir üzerinde yaklaşık 815.000 doları yaklaşık yedi dakikada boşalttı.
- Köprüdeki önceki sarılı toplam arzdan daha fazla olacak şekilde, 13,76 milyon teminatsız sarılı ALPH bastılar.
- Alephium, guardian anahtarlarının çalınmasını değil, zincir dışı bir arka uç açığını suçluyor ve etkilenen kullanıcıları geri ödemeye söz veriyor.
Alephium TokenBridge Hızla Boşaltıldı
Güvenlik firması Blockaid, saldırıyı ilk olarak 30 Mayıs'ta tespit etti ve gönüllü müdahale birimi SEAL 911 kısa sürede soruşturmaya katıldı. Saldırgan, TokenBridge üzerinden hem Ethereum hem de BNB Chain tarafında sahte transfer onayları iletip rezervleri boşalttı ve yeni tokenler bastı.
Tüm süreç yaklaşık yedi dakika sürdü.
Ethereum tarafında hırsız, 200.967 Tether (USDT), 17.594 USD Coin (USDC) ve daha küçük miktarlarda Wrapped Ether ve Wrapped Bitcoin aldı; BNB Chain tarafında ise 36.750 USDT ve 24,386 Wrapped BNB kaybedildi. Aynı cüzdan ayrıca, arkasında kilitli gerçek ALPH olmadan 13,76 milyon sarılı ALPH bastı.
Bu ganimet, köprünün önceki tüm sarılı arzını aştı ve saldırganı adeta yoktan var edilmiş coinlerin sahibi konumuna getirdi.
Ayrıca Bkz.: Cardano Tops Every Major Chain In Stablecoin Growth, Up 61% In A Week
Çalınan Anahtarlar Değil, Zincir Dışı Açık
İlk anlatımlar ihlali, dörtten üçünün ele geçirildiği iddia edilen guardian anahtarlarına bağladı; ancak Alephium daha sonra gerçek sebebin köprünün arka ucundaki zincir dışı bir hata olduğunu söyledi ve Blockaid de ilk değerlendirmesini buna göre yumuşattı. Proje, yalnızca dört imzalayıcının bulunduğu özel bir Wormhole mesajlaşma sistemi çatalı çalıştırıyor; bu da aynı açığın benzer kod üzerine inşa edilen diğer köprülerde de saklanabileceği anlamına geliyor.
Sebeple ilgili bu değişiklik tüm olayı yeniden çerçeveliyor.
Alephium Kullanıcıları Geri Ödemeye Söz Veriyor
Alephium köprüyü durdurdu, ALPH havuzlarından likiditenin çekilmesi çağrısında bulundu ve coinleri içeride kilitli kalan kullanıcılar için bir kurtarma yolu vaat etti. Köprü çevrimdışı olduğundan, saldırgan teminatsız sarılı ALPH'leri yeniden köprü üzerinden geri itemiyor ve çalınan fonlar, olay açıklanırken hâlâ hareket etmeden cüzdanda duruyordu. Ekip, etkilenen kullanıcıları tamamen tazmin etmek için her seçeneği değerlendirdiğini, bu hafta ayrıntılı bir olay sonrası raporu yayımlayacağını söylüyor.
Bu ihlal, ayrı blok zincirleri arasındaki varlık transferlerini sağlayan altyapı olan çapraz zincir köprüleri için zorlu dönemi uzatıyor.
Yakın zamanda Verus-Ethereum köprüsüne yapılan bir saldırı yaklaşık 11,58 milyon doları boşalttı ve burada görülen sahte mesaj taktiği, Wormhole’un yıllar önce yaşadığı 320 milyon dolardan fazla kayba da yankı yapıyor. Bir hesap, Mayıs ayında sektörde çalışılan toplam çalıntı kripto miktarını 52 milyon doların üzerinde gösterdi.
Sıradaki Haber: ETH Loses Its Last Floor And Stares Down A Drop Toward $1,800