Alcuni hacker hanno sottratto circa 815.000 dollari dal Token Bridge di Alephium su Ethereum. Hanno creato 13,76 milioni di token ALPH "wrapped" tramite transazioni falsificate, spingendo il progetto ad avvertire i fornitori di liquidità di ritirare immediatamente i propri fondi.
Questo exploit si aggiunge al crescente numero di attacchi ai bridge che si sono verificati a maggio. Il bridge Verus-Ethereum ha perso circa 11,5 milioni di dollari in un attacco il 18 maggio, mentre Cryptopolitan ha riportato in precedenza, il 30 maggio, che Gravity Bridge ha perso 5,4 milioni di dollari, lo stesso giorno in cui TokenBridge di Alephium ha subito un exploit.
Cosa ha reso l'attacco efficace?
L'azienda di sicurezza blockchain Blockaid ha individuato la vulnerabilità e ha segnalato che l'attaccante ha compromesso tre delle quattro chiavi di protezione del bridge. Dopo aver ottenuto il controllo della maggioranza dei firmatari, l'attaccante ha falsificato le Verified Action Approvals (VAA), i messaggi crittografici che autorizzano i trasferimenti tra blockchain.
Secondo Blockaid, l'intera operazione è durata circa sette minuti. L'attaccante ha utilizzato i VAA falsificati per coniare 13,76 milioni di ALPH "wrapped", una quantità che, a quanto pare, supera il 100% della precedente fornitura di token "wrapped". Ulteriori asset, tra cui USDT, USDC, WBTC e WETH, sono stati sbloccati dal contratto di custodia del bridge.
L'analista on-chain Specter ha segnalato che l'attacco ha colpito sia il contratto bridge di Ethereum che quello di BNB Chain. Specter ha affermato che l'attaccante ha poi trasferito i fondi rubati da BNB Chain a Ethereum e che una parte è già stata depositata in Tornado Cash, secondo l'analisi di Specter pubblicata su X.
Alephium nega la compromissione della chiave del guardiano
Tuttavia, Alephium ha fornito ulteriori aggiornamenti contestando quanto affermato da Blockaid, dichiarando: "L'exploit NON è stato causato da una compromissione delle chiavi di protezione, contrariamente ad alcune prime segnalazioni esterne".
Secondo il protocollo, l'exploit è stato "causato da una vulnerabilità off-chain nel backend del bridge che poteva essere attivata in specifici casi limite".
Alephium ha fornito una ripartizione dei fondi prelevati tra Ethereum e BNB, affermando che 200.967 USDT, 17.594 USDC, 5,18 WETH e 0,335 WBTC sono stati prelevati dal primo, mentre 36.750 USDT e 24,386 WBNB sono stati prelevati da BNB.
Alephium intima agli LP di ritirarsi
Alephium ha inoltre avvertito chiunque fornisca liquidità ai pool ALPH su Uniswap o PancakeSwap.
In un successivo aggiornamento, la piattaforma ha fornito una spiegazione esaustiva del motivo per cui ha chiesto agli utenti di ritirare la liquidità, affermando : "Poiché il bridge è stato chiuso, l'attaccante non può riscattare o trasferire questi ALPH incapsulati attraverso il bridge Alephium. Pertanto, chiediamo agli utenti di non fornire liquidità ai pool ALPH su Ethereum o BNB Chain, di ritirare qualsiasi liquidità esistente e di non effettuare scambi con questi pool", aggiungendo che "Un'ulteriore liquidità o attività di trading aumenterebbe la capacità dell'attaccante di ricavare valore dagli ALPH incapsulati non autorizzati".
ALPH è attualmente scambiato a $0,037 con una capitalizzazione di mercato di oltre $5 milioni, mentre il valore totale bloccato (TVL) sui protocolli DeFi di Alephium si attesta a circa $756.000 e ha oltre $308.000 come TVL collegato, secondo i dati di DefiLlama .
Il team di Alephium ha dichiarato di essere attualmente concentrato sulle attività di recupero e bonifica e ha promesso di condividere ulteriori aggiornamenti la prossima settimana.
Un mese terribile per i ponti.
La vulnerabilità di Alephium si aggiunge a quello che è diventato un periodo difficile per le infrastrutture cross-chain.
L'attacco hacker a Gravity Bridge , segnalato anch'esso lo stesso giorno, ha visto la sottrazione di 5,4 milioni di dollari attraverso quella che gli analisti on-chain sospettano essere una compromissione della chiave di contratto, secondo quanto riportato da Cryptopolitan.
Circa due settimane prima, il bridge Verus-Ethereum aveva perso 11,5 milioni di dollari a causa di una vulnerabilità che aggirava il sistema di verifica, secondo il database degli attacchi hacker di DefiLlama. Anche THORChain ha subito un attacco coordinato da 10 milioni di dollari che ha colpito Bitcoin, Ethereum, BNB Chain e Base il 15 maggio, come riportato da Cryptopolitan.
Di recente, i bridge cross-chain hanno subito un aumento degli attacchi da parte di malintenzionati, e a metà maggio del 2026 hanno registrato perdite complessive superiori a 326 milioni di dollari.
Secondo DefiLlama, i protocolli bridge rappresentano 3,2 miliardi di dollari dei 16,6 miliardi di dollari di valore totale violato nella storia delle criptovalute, una quota sproporzionata considerando il numero relativamente ridotto di protocolli bridge rispetto ad altre categorie DeFi.
La persistente vulnerabilità di queste piattaforme e la crescente frequenza degli attacchi tra aprile e maggio hanno reso questo schema difficile da ignorare.
Non limitarti a leggere le notizie sulle criptovalute. Cerca di capirle. Iscriviti alla nostra newsletter. È gratis .