815 000 $ disparus en 7 minutes – Dans l'exploit Alephium TokenBridge d'Ethereum

Cinq mois après le début de 2026, les attaques continuent. Blockaid, une société de sécurité blockchain, a découvert un nouvel exploit ciblant Alephium TokenBridge d'Ethereum le 30 mai.

Selon l'enquête, trois clés de gardien compromises sur quatre qui signaient de faux VAA (Verified Action Approvals) ont été utilisées pour drainer 815 000 $ en sept minutes.

Comment les clés du gardien ont-elles été compromises ?

Pour le contexte, l'Alephium TokenBridge est un pont qui relie Ethereum et la blockchain Alephium.

Lorsque les utilisateurs passent d'Alephium à Ethereum [ETH], le véritable ALPH est verrouillé sur une seule chaîne. À l’avenir, Ethereum est utilisé pour créer une version enveloppée (wALPH).

Avant d'autoriser l'atelier, trois gardiens du pont confirment que l'écluse a bien été réalisée. De plus, pour vérifier les transferts inter-chaînes, le système utilise les signatures des tuteurs.

Pour qu'un message de transfert soit approuvé par le pont, trois des quatre gardiens doivent le signer. Cependant, lors de l’attaque Alephium TokenBridge, les trois clés privées du gardien ont été obtenues d’une manière ou d’une autre par les attaquants.

Après avoir obtenu ces clés, ils ont fabriqué de faux messages de pont connus sous le nom de VAA et les ont fait paraître authentiques.

La touche « monnaie »

En plus de créer ALPH, les faux VAA ont donné au pont des instructions pour libérer les actifs déjà arrêtés.

Après que les attaquants ont convaincu le pont qu'il y avait eu des retraits valides, Tether [USDT], USD Coin [USDC], Wrapped Bitcoin (WBTC) et Wrapped Ether (WETH) ont été déverrouillés.

Sans effectuer un véritable dépôt ALPH, les attaquants ont effectué 13,76 millions d’ALPH enveloppés. Selon Blockaid, cela représentait plus de 100 % de l’offre emballée précédemment disponible.

En d’autres termes, l’attaquant a essentiellement produit à partir de rien une grande quantité d’actifs soutenus par ALPH.

Des attaques similaires dans le passé

Cela ressemble à l'exploit Wormhole Bridge, dans lequel les attaquants ont créé des actifs qui n'ont jamais été soutenus par des garanties et ont falsifié des messages de pont.

De plus, cela fait suite à une récente attaque contre le pont Verus-Ethereum, qui a coûté environ 11,58 millions de dollars.

Résumé final

Lors de cette attaque, trois clés de gardien compromises sur quatre ont entraîné une perte de 815 000 $ en seulement sept minutes.

Les attaquants ont frappé 13,76 millions d’ALPH enveloppés sans réellement déposer d’ALPH.