El puente del token Alephium fue explotado por 815.000 dólares mientras los hackers acuñaban millones de ALPH sin respaldo

Los piratas informáticos han drenado aproximadamente 815.000 dólares del Token Bridge de Alephium en Ethereum. Acuñaron 13,76 millones de tokens ALPH envueltos a partir de transacciones falsificadas, lo que llevó al proyecto a advertir a los proveedores de liquidez que retiraran sus fondos de inmediato.

Este exploit se suma al creciente número de ataques a puentes que se produjeron en mayo. El puente Verus-Ethereum perdió alrededor de $11,5 millones en un ataque el 18 de mayo, mientras que Cryptopolitan informó anteriormente el 30 de mayo que Gravity Bridge perdió $5,4 millones, el mismo día que TokenBridge de Alephium sufrió un exploit.

¿Qué hizo que el ataque fuera exitoso?

La empresa de seguridad Blockchain Blockaid detectó el exploit e informó que el atacante comprometió tres de las cuatro claves guardianas que protegen el puente. Al obtener el control de una mayoría de firmas, el atacante falsificó Aprobaciones de acción verificadas (VAA), los mensajes criptográficos que autorizan las transferencias entre cadenas.

Según Blockaid, toda la operación duró aproximadamente siete minutos. El atacante utilizó los VAA falsificados para acuñar 13,76 millones de ALPH envueltos, lo que supuestamente representa más del 100% del suministro envuelto anterior del token. Se desbloquearon activos adicionales, incluidos $USDT, $USDC, WBTC y WETH, del contrato de custodia del puente.

El analista en cadena Specter señaló que el ataque afectó a los contratos puente de Ethereum y $BNB Chain. Specter declaró que el atacante luego movió fondos robados de $BNB Chain a Ethereum, y una parte ya se depositó en Tornado Cash, según el análisis de Specter publicado en X.

Alephium niega compromiso clave del guardián

Sin embargo, Alephium ha proporcionado más actualizaciones cuestionando la presentación de Blockaid, afirmando: "El exploit NO fue causado por un compromiso de las claves guardianas, al contrario de algunos informes externos iniciales".

Según el protocolo, el exploit fue "causado por una vulnerabilidad fuera de la cadena en el backend del puente que podría activarse en casos extremos específicos".

Alephium dio un desglose de los fondos que se drenaron en Ethereum y $BNB, indicando que 200.967 $USDT, 17.594 $USDC, 5,18 WETH y 0,335 WBTC se tomaron del primero, mientras que 36.750 $USDT y 24,386 WBNB se tomaron de $BNB.

Alephium le dice a los LP que se retiren

Alephium también advirtió a cualquiera que proporcione liquidez a los grupos ALPH en Uniswap o PancakeSwap.

En una actualización de seguimiento, la plataforma dio una razón completa por la que pidió a los usuarios que retiraran liquidez, afirmando: "Debido a que el puente se ha cerrado, el atacante no puede canjear o puentear estos ALPH envueltos a través del puente Alephium. Por lo tanto, pedimos a los usuarios que no proporcionen liquidez a los grupos ALPH en Ethereum o $BNB Chain, que retiren cualquier liquidez existente y que no intercambien contra estos grupos", y agregó que "liquidez adicional o actividad comercial aumentaría la capacidad del atacante para obtener valor de los fondos no autorizados". ALPH envuelto”.

ALPH cotiza actualmente a $ 0,037 con una capitalización de mercado de más de $ 5 millones, mientras que el valor total bloqueado (TVL) en los protocolos DeFi de Alephium se sitúa en aproximadamente $ 756 000 y tiene más de $ 308 000 como TVL puente, según los datos de DefiLlama. El equipo de Alephium ha declarado que actualmente se están centrando en los esfuerzos de recuperación y remediación y prometió compartir más actualizaciones la próxima semana.

Un mes brutal para los puentes

El exploit Alephium se suma a lo que se ha convertido en un tramo de castigo para la infraestructura entre cadenas.

El hackeo de Gravity Bridge, también informado el mismo día, provocó que se drenaran 5,4 millones de dólares a través de lo que los analistas en cadena sospechan que fue un compromiso clave del contrato, según el informe de Cryptopolitan.

Aproximadamente dos semanas antes, el puente Verus-Ethereum perdió 11,5 millones de dólares en un exploit de omisión de verificación, según la base de datos de hacks de DefiLlama. THORChain también sufrió un ataque coordinado de $10 millones en Bitcoin, Ethereum, $BNB Chain y Base el 15 de mayo, según informó Cryptopolitan.

Los puentes entre cadenas han sufrido recientemente un aumento de ataques por parte de malos actores y, en conjunto, han perdido más de 326 millones de dólares solo en 2026 a mediados de mayo.

Los protocolos puente representan 3.200 millones de dólares de los 16.600 millones de dólares en valor total pirateados a lo largo de la historia de las criptomonedas, según DefiLlama, una parte desproporcionada dada la cantidad relativamente pequeña de protocolos puente en comparación con otras categorías de DeFi.

La persistente vulnerabilidad de estas plataformas y la creciente frecuencia de los ataques entre abril y mayo han hecho que este patrón sea difícil de ignorar.