Кросчейн‑міст, що з’єднує мережу Alephium (ALPH) з Ethereum (ETH) та ланцюгом BNB, втратив приблизно $815 000 менш ніж за сім хвилин після того, як зловмисники проштовхнули підроблені повідомлення через його бекенд.
Key Points:
- Зловмисники вивели близько $815 000 з Alephium TokenBridge у двох мережах приблизно за сім хвилин.
- Вони карбували 13,76 млн незабезпечених wrapped ALPH — більше, ніж увесь попередній обсяг wrapped‑токенів мосту.
- Alephium покладає провину на офчейн‑дефект бекенду, а не на викрадені guardian‑ключі, і пообіцяв відшкодувати збитки постраждалим користувачам.
Alephium TokenBridge спорожніли за лічені хвилини
Фірма з кібербезпеки Blockaid першою виявила атаку 30 травня, а волонтерський підрозділ реагування SEAL 911 швидко приєднався до розслідування. Зловмисник проштовхував сфабриковані схвалення трансферів через TokenBridge як в Ethereum, так і в BNB Chain, викачав резерви та карбував нові токени.
Уся послідовність зайняла близько семи хвилин.
В Ethereum зловмисник забрав 200 967 Tether (USDT), 17 594 USD Coin (USDC) і менші суми Wrapped Ether та Wrapped Bitcoin, тоді як у BNB Chain він вивів 36 750 USDT і 24,386 Wrapped BNB. Та ж сама адреса також карбувала 13,76 млн wrapped ALPH без реальних ALPH, заблокованих під ці токени.
Ця здобич перевищила весь попередній обсяг wrapped‑пропозиції мосту, залишивши зловмисника з монетами, фактично створеними з повітря.
Також читайте: Cardano Tops Every Major Chain In Stablecoin Growth, Up 61% In A Week
Офчейн‑дефект, а не викрадені ключі
Перші оцінки пов’язували злом із компрометацією трьох із чотирьох guardian‑ключів, однак пізніше Alephium заявив, що справжньою причиною став офчейн‑баг у бекенді мосту, а Blockaid скоригувала свою початкову версію відповідно. Проєкт використовує приватний форк системи повідомлень Wormhole з лише чотирма підписантами, тож той самий дефект може ховатися й в інших мостах, побудованих на подібному коді.
Зміна версії причин повністю переосмислює інцидент.
Alephium обіцяє відшкодувати збитки користувачам
Alephium зупинив роботу мосту, закликав власників вивести ліквідність з пулів ALPH і пообіцяв план відновлення для користувачів, чиї монети залишилися заблокованими всередині. Поки міст офлайн, зловмисник не може проштовхнути незабезпечені wrapped ALPH назад через нього, а викрадені кошти на момент розкриття залишалися нерухомими на гаманці. Команда стверджує, що розглядає всі варіанти, щоб повністю компенсувати втрати постраждалим користувачам, а повний постмортем очікується цього тижня.
Інцидент продовжує важкий період для кросчейн‑мостів — інфраструктури, яка переказує активи між окремими блокчейнами.
Нещодавня атака на Verus-Ethereum bridge drained about $11.58 million, а тактика підроблених повідомлень нагадує втрату понад $320 млн у Wormhole кількома роками раніше. За однією з оцінок, pegged травень завершився понад $52 млн викраденої криптовалюти по всьому сектору.
Read Next: ETH Loses Its Last Floor And Stares Down A Drop Toward $1,800