Il TokenBridge di Alephium (ALPH) è stato depredato di circa 815.000 dollari dopo che un hacker ha sfruttato una falla che ha permesso a messaggi falsificati di attraversare la rete di protezione del protocollo e autorizzare trasferimenti fraudolenti di token.
Il team di Alephium ha confermato che la società di sicurezza blockchain Blockaid è stata la prima a individuare la vulnerabilità. Anche l'unità di intervento rapido SEAL_911 della Security Alliance ha fornito assistenza e supporto durante le successive indagini.
Un exploit permette di sottrarre 815.000 dollari in meno di 7 minuti.
L'attaccante ha trasferito fondi dall'Alephium TokenBridge sia su Ethereum che su BNB Chain in circa sette minuti. Su Ethereum, le perdite hanno incluso 200.967 Tether (USDT), 17.594 USD Coin (USDC), 5,18 Wrapped Ether (WETH) e 0,335 Wrapped Bitcoin (WBTC).
Ulteriori 36.750 USDT e 24.386 Wrapped BNB sono stati rimossi dal lato BNB Chain del bridge. L'attaccante ha inoltre coniato 13,76 milioni di Wrapped ALPH non garantiti e li ha trasferiti direttamente nel proprio portafoglio.
Alephium ha disattivato il bridge e ha dichiarato di stare valutando tutte le opzioni possibili per risarcire gli utenti interessati.
L'incidente si aggiunge al quadro già in peggioramento per le infrastrutture cross-chain nel 2026. Le perdite dovute agli attacchi hacker nel settore delle criptovalute ad aprile hanno raggiunto i 606 milioni di dollari, e il numero di attacchi hacker subiti nel settore DeFi a maggio ha continuato a crescere, proseguendo verso giugno.
Anche una vulnerabilità del bridge CrossCurve e una vulnerabilità di Hyperbridge, entrambe valutate a 2,5 milioni di dollari, hanno contribuito al totale dell'anno.
Messaggi falsificati, non chiavi rubate
Gli sviluppatori hanno creato Alephium TokenBridge su una versione modificata del protocollo Wormhole, che si basa su una rete di guardiani per convalidare i messaggi tra diverse blockchain. Ogni trasferimento deve essere approvato da un quorum di guardiani, il che rende la possibilità di inserire messaggi fraudolenti una vulnerabilità di grande impatto.
Le prime indiscrezioni attribuivano la violazione a chiavi private di custodia compromesse, paragonandola alla violazione delle chiavi di Gravity Bridge avvenuta all'inizio del 2026, che costò 5,4 milioni di dollari. L'aggiornamento di Alephium successivo all'incidente contraddice tale interpretazione.
"L'attacco non sembra aver comportato la compromissione delle chiavi private dei guardiani. Piuttosto, sembra aver coinvolto un exploit che ha permesso di osservare e firmare da parte dei guardiani eventi/messaggi dannosi falsificati", afferma Alephium.
La distinzione è importante. Un errore di compromissione chiave indica un guasto operativo, mentre un attacco con messaggio falsificato indica una falla nel modo in cui il bridge convalida i dati in entrata prima di presentarli ai guardiani.
Una dinamica simile è emersa nell'exploit del bridge Polkadot, dove l'attaccante ha convalidato fraudolentemente le transazioni e coniato token non garantiti. Alephium ha dichiarato che a breve sarà disponibile un'analisi tecnica completa da parte del suo team.
L'articolo "Messaggi falsi sul bridge consentono a un hacker di sottrarre 815.000 dollari da Alephium" è apparso per la prima volta su BeInCrypto .