Token bridge da Alephium explorada em $815K enquanto hackers mineram milhões de ALPH sem lastro

Hackers drenaram aproximadamente $815.000 da Token Bridge da Alephium na Ethereum. Eles mineraram 13,76 milhões de tokens ALPH embrulhados a partir de transações forjadas, levando o projeto a alertar os provedores de liquidez para retirarem seus fundos imediatamente.
Esse exploit se soma ao número crescente de ataques a bridges que ocorreram em maio. A bridge Verus-Ethereum perdeu cerca de $11,5 milhões em um ataque no dia 18 de maio, enquanto o Cryptopolitan relatou anteriormente em 30 de maio que a Gravity Bridge perdeu $5,4 milhões, no mesmo dia em que a TokenBridge da Alephium sofreu um exploit.
O que tornou o ataque bem-sucedido?
A empresa de segurança blockchain Blockaid detectou a exploração e relatou que o atacante comprometeu três das quatro chaves do guardião que protegem a ponte. Ao ganhar controle de uma maioria de assinaturas, o atacante forjou Aprovadores de Ação Verificados (VAAs), as mensagens criptográficas que autorizam transferências cross-chain.
De acordo com a Blockaid, toda a operação levou cerca de sete minutos. O atacante usou os VAAs forjados para mintar 13,76 milhões de ALPH embrulhados, que é supostamente mais de 100% do fornecimento anterior de tokens embrulhados. Ativos adicionais, incluindo USDT, USDC, WBTC e WETH, foram desbloqueados do contrato de custódia da ponte.
O analista on-chain Specter destacou que o ataque atingiu tanto os contratos de ponte da Ethereum quanto da BNB Chain. Specter afirmou que o atacante então moveu os fundos roubados da BNB Chain para a Ethereum, e uma parte já foi depositada no Tornado Cash, de acordo com a análise de Specter publicada no X.
A Alephium nega a violação das chaves do guardião.
No entanto, a Alephium forneceu mais atualizações contestando a submissão da Blockaid, afirmando: “A exploração NÃO foi causada por uma violação das chaves do guardião, ao contrário de alguns relatórios externos iniciais.”
De acordo com o protocolo, a exploração foi “causada por uma vulnerabilidade offchain no backend da ponte que poderia ser acionada em casos extremos específicos.”
A Alephium deu uma visão geral dos fundos que foram drenados entre Ethereum e BNB, afirmando que 200.967 USDT, 17.594 USDC, 5,18 WETH e 0,335 WBTC foram retirados do primeiro, enquanto 36.750 USDT e 24,386 WBNB foram retirados do BNB.
A Alephium orienta os LPs a retirarem.
A Alephium também alertou qualquer um que fornecesse liquidez para pools de ALPH no Uniswap ou PancakeSwap.
Em uma atualização de acompanhamento, a plataforma forneceu uma razão abrangente pela qual pediu aos usuários que retirassem liquidez, afirmando: “Porque a ponte foi fechada, o atacante não pode resgatar ou transferir esses ALPH embrulhados de volta através da ponte da Alephium. Portanto, pedimos aos usuários que não forneçam liquidez para pools de ALPH na Ethereum ou na BNB Chain, que retirem qualquer liquidez existente e que não troquem contra esses pools,” acrescentando que “Liquidez ou atividade de negociação adicional aumentaria a capacidade do atacante de realizar valor a partir dos ALPH embrulhados não autorizados.”
O ALPH está atualmente sendo negociado a $0,037 com uma capitalização de mercado de mais de $5 milhões, enquanto o valor total bloqueado (TVL) nos protocolos DeFi da Alephium estava aproximadamente em $756.000, e possui mais de $308.000 como TVL bridged, segundo dados da DefiLlama.

A equipe da Alephium afirmou que está focando atualmente em esforços de recuperação e remediação e prometeu compartilhar mais atualizações na próxima semana.
Um mês brutal para as pontes.
A exploração da Alephium se junta ao que se tornou um período punitivo para a infraestrutura cross-chain.
O hack da Gravity Bridge, também relatado no mesmo dia, viu $5,4 milhões drenados através do que analistas on-chain suspeitam ser uma violação de chave de contrato, de acordo com o relatório da Cryptopolitan.
Cerca de duas semanas antes, a ponte Verus-Ethereum perdeu $11,5 milhões em uma exploração de bypass de verificação, de acordo com o banco de dados de hacks da DefiLlama. A THORChain também sofreu um ataque coordenado de $10 milhões entre Bitcoin, Ethereum, BNB Chain e Base em 15 de maio, conforme relatado pela Cryptopolitan.
As pontes cross-chain têm visto um aumento de ataques de atores mal-intencionados recentemente, e coletivamente perderam mais de $326 milhões em 2026 até meados de maio.
Os protocolos de ponte representam $3,2 bilhões dos $16,6 bilhões em valor total hackeado ao longo da história das criptos, de acordo com a DefiLlama, uma parte desproporcional, dado o número relativamente pequeno de protocolos de ponte em comparação com outras categorias DeFi.
A vulnerabilidade persistente dessas plataformas e a crescente frequência de ataques de abril a maio tornaram o padrão difícil de ignorar.
Não leia apenas notícias de cripto. Entenda. Assine nosso boletim informativo. É grátis.