Le pont de jetons Alephium exploité pour 815 000 $ alors que les pirates informatiques créent des millions d'ALPH non sauvegardés

Les pirates ont détourné environ 815 000 $ du Token Bridge d’Alephium sur Ethereum. Ils ont émis 13,76 millions de jetons ALPH emballés à partir de fausses transactions, ce qui a incité le projet à avertir les fournisseurs de liquidités de retirer leurs fonds immédiatement.

Cet exploit s'ajoute au nombre croissant d'attaques de ponts survenues en mai. Le pont Verus-Ethereum a perdu environ 11,5 millions de dollars lors d'une attaque le 18 mai, tandis que Cryptopolitan a rapporté plus tôt le 30 mai que Gravity Bridge avait perdu 5,4 millions de dollars, le même jour où le TokenBridge d'Alephium avait subi un exploit.

Qu’est-ce qui a fait le succès de l’attaque ?

La société de sécurité Blockchain Blockaid a détecté l'exploit et a signalé que l'attaquant avait compromis trois des quatre clés de gardien protégeant le pont. Après avoir pris le contrôle d'une majorité de signataires, l'attaquant a falsifié des approbations d'action vérifiées (VAA), les messages cryptographiques qui autorisent les transferts entre chaînes.

Selon Blockaid, l’ensemble de l’opération a duré environ sept minutes. L’attaquant a utilisé les VAA contrefaits pour créer 13,76 millions d’ALPH enveloppés, ce qui représenterait plus de 100 % de l’offre précédente du jeton emballé. Des actifs supplémentaires, notamment $USDT, $USDC, WBTC et WETH, ont été débloqués à partir du contrat de garde du pont.

L'analyste en chaîne Spectre a signalé que l'attaque avait touché à la fois les contrats de pont Ethereum et $BNB Chain. Spectre a déclaré que l'attaquant a ensuite transféré les fonds volés de $BNB Chain vers Ethereum, et qu'une partie a déjà été déposée dans Tornado Cash, selon l'analyse de Spectre publiée sur X.

Alephium nie la compromission de la clé du gardien

Cependant, Alephium a fourni d’autres mises à jour contestant la soumission de Blockaid, déclarant : « L’exploit n’a PAS été causé par une compromission des clés du gardien, contrairement à certains premiers rapports externes. »

Selon le protocole, l'exploit était "causé par une vulnérabilité hors chaîne dans le backend du pont qui pourrait être déclenchée dans des cas extrêmes spécifiques".

Alephium a donné une répartition des fonds qui ont été drainés entre Ethereum et $BNB, déclarant que 200 967 $USDT, 17 594 $USDC, 5,18 WETH et 0,335 WBTC ont été retirés du premier, tandis que 36 750 $USDT et 24,386 WBNB ont été retirés de $BNB.

Alephium demande aux LP de se retirer

Alephium a également averti toute personne fournissant des liquidités aux pools ALPH sur Uniswap ou PancakeSwap.

Dans une mise à jour de suivi, la plate-forme a donné une raison complète pour laquelle elle a demandé aux utilisateurs de retirer des liquidités, déclarant : "Étant donné que le pont a été fermé, l'attaquant ne peut pas racheter ou relier ces ALPH enveloppés via le pont Alephium. Nous demandons donc aux utilisateurs de ne pas fournir de liquidités aux pools ALPH sur Ethereum ou la chaîne $BNB, de retirer toute liquidité existante et de ne pas échanger contre ces pools", ajoutant que "une liquidité ou une activité de négociation supplémentaire augmenterait la capacité de l'attaquant à tirer profit des liquidités enveloppées non autorisées". ALPH.”

ALPH se négocie actuellement à 0,037 $ avec une capitalisation boursière de plus de 5 millions de dollars, tandis que la valeur totale verrouillée (TVL) sur les protocoles DeFi d'Alephium s'élève à environ 756 000 $, et elle a plus de 308 000 $ de TVL pontée, selon les données DefiLlama.

Un mois brutal pour les ponts

L’exploit Alephium s’ajoute à ce qui est devenu une période difficile pour l’infrastructure inter-chaînes.

Le piratage de Gravity Bridge, également signalé le même jour, a entraîné une perte de 5,4 millions de dollars à cause de ce que les analystes de la chaîne soupçonnent être une compromission clé du contrat, selon les rapports de Cryptopolitan.

Environ deux semaines plus tôt, le pont Verus-Ethereum a perdu 11,5 millions de dollars suite à un exploit de contournement de vérification, selon la base de données de hacks de DefiLlama. THORChain a également subi une attaque coordonnée de 10 millions de dollars sur Bitcoin, Ethereum, $BNB Chain et Base le 15 mai, comme l'a rapporté Cryptopolitan.

Les ponts inter-chaînes ont récemment connu une augmentation des attaques de la part de mauvais acteurs, et ils ont collectivement perdu plus de 326 millions de dollars rien qu'en 2026 à la mi-mai.

Les protocoles de pont représentent 3,2 milliards de dollars sur les 16,6 milliards de dollars de valeur totale piratés au cours de l'histoire de la cryptographie, selon DefiLlama, une part disproportionnée étant donné le nombre relativement faible de protocoles de pont par rapport aux autres catégories DeFi.

La vulnérabilité persistante de ces plateformes et la fréquence croissante des attaques d’avril à mai ont rendu cette tendance difficile à ignorer.