Эксплойт токен-моста Alephium на $815K: хакеры создали миллионы необеспеченных ALPH

Хакеры вывели примерно $815,000 из токен-моста Alephium на Ethereum. Они создали 13.76 миллиона обернутых ALPH токенов через поддельные транзакции, что заставило проект предупредить ликвидных поставщиков немедленно вывести свои средства.
Этот эксплойт добавляет к растущему числу атак на мосты, которые произошли в мае. Мост Verus-Ethereum потерял около $11.5 миллионов в атаке 18 мая, в то время как Cryptopolitan ранее сообщал 30 мая, что Gravity Bridge потерял $5.4 миллионов, в тот же день, когда токен-мост Alephium подвергся атаке.
Что сделало атаку успешной?
Фирма по безопасности блокчейнов Blockaid обнаружила эксплойт и сообщила, что нападающий скомпрометировал три из четырех ключей охранников, защищающих мост. Получив контроль над большинством подписей, нападающий подделал Проверенные Одобрения Действий (VAAs), криптографические сообщения, которые авторизуют кросс-цепочные переводы.
Согласно Blockaid, вся операция заняла примерно семь минут. Нападающий использовал поддельные VAAs для выпуска 13,76 миллиона завернутых ALPH, что, как сообщается, более чем на 100% превышает предыдущий объем токенов. Дополнительные активы, включая USDT, USDC, WBTC и WETH, были разблокированы из хранилищного контракта моста.
Аналитик on-chain Specter отметил, что атака затронула как контракты мостов Ethereum, так и BNB Chain. Specter заявил, что нападающий затем переместил украденные средства с BNB Chain на Ethereum, и часть уже была внесена в Tornado Cash, согласно анализу Specter, опубликованному в X.
Alephium отрицает компрометацию ключей охранников
Тем не менее, Alephium предоставил дополнительные обновления, опровергая утверждения Blockaid, заявив: “Эксплойт НЕ был вызван компрометацией ключей охранников, в отличие от некоторых ранних внешних отчетов.”
Согласно протоколу, эксплойт был “вызван уязвимостью вне цепи в бекенде моста, которая могла быть активирована в специфических крайних случаях.”
Alephium предоставил разбивку средств, которые были выведены с Ethereum и BNB, заявив, что 200,967 USDT, 17,594 USDC, 5,18 WETH и 0,335 WBTC были взяты с первого, в то время как 36,750 USDT и 24,386 WBNB были взяты с BNB.
Alephium просит LP вывести ликвидность
Alephium также предостерег всех, кто предоставляет ликвидность в ALPH пулах на Uniswap или PancakeSwap.
В последующем обновлении платформа предоставила полное объяснение, почему она попросила пользователей вывести ликвидность, заявив: “Поскольку мост был закрыт, нападающий не может вернуть или перебросить эти завернутые ALPH обратно через мост Alephium. Поэтому мы просим пользователей не предоставлять ликвидность в ALPH пулах на Ethereum или BNB Chain, вывести любую существующую ликвидность и не обменивать средства против этих пулов,” добавив, что “Дополнительная ликвидность или торговая активность увеличили бы возможности нападающего реализовать ценность из несанкционированного завернутого ALPH.”
ALPH в настоящее время торгуется по цене $0.037 с рыночной капитализацией более 5 миллионов долларов, в то время как общая заблокированная стоимость (TVL) по протоколам Alephium DeFi составляет примерно 756,000 долларов, и у него более 308,000 долларов как заблокированного TVL по мосту, согласно данным DefiLlama.

Команда Alephium заявила, что они в настоящее время сосредоточены на усилиях по восстановлению и устранению последствий и пообещали поделиться дополнительными обновлениями на следующей неделе.
Жестокий месяц для мостов
Эксплойт Alephium добавляет к тому, что стало суровым периодом для кросс-цепочной инфраструктуры.
Взлом Gravity Bridge, также сообщенный в тот же день, привел к утечке 5,4 миллиона долларов через то, что, как подозревают аналитики on-chain, было компрометацией ключа контракта, согласно отчету Cryptopolitan.
Примерно за две недели до этого мост Verus-Ethereum потерял 11,5 миллиона долларов в результате эксплуатации обхода проверки, согласно базе данных взломов DefiLlama. THORChain также пострадал от скоординированной атаки на 10 миллионов долларов по Bitcoin, Ethereum, BNB Chain и Base 15 мая, как сообщается в Cryptopolitan.
Кросс-цепочные мосты в последнее время стали целью увеличившихся атак со стороны недобросовестных участников, и они в целом потеряли более 326 миллионов долларов только в 2026 году по состоянию на середину мая.
Протоколы мостов составляют 3,2 миллиарда долларов из 16,6 миллиарда долларов общей стоимости, взломанной в истории крипто, согласно данным DefiLlama, что является непропорциональной долей, учитывая относительно малое количество протоколов мостов по сравнению с другими категориями DeFi.
Постоянная уязвимость этих платформ и растущая частота атак с апреля по май сделали этот паттерн трудным для игнорирования.
Не просто читай крипто новости. Пойми их. Подпишись на нашу рассылку. Это бесплатно.