815 тысяч долларов ушло за 7 минут – эксплойт Alephium TokenBridge в Ethereum
Прошло пять месяцев 2026 года, а атаки продолжаются. Blockaid, компания, занимающаяся безопасностью блокчейнов, 30 мая обнаружила новый эксплойт, нацеленный на Alephium TokenBridge Ethereum.
По данным расследования, три из четырех скомпрометированных ключей Guardian, которыми были подписаны поддельные VAA (Verified Action Approvals), были использованы для вывода $815 000 за семь минут.
Как были скомпрометированы ключи стражей?
Для контекста: Alephium TokenBridge — это мост, связывающий Ethereum и блокчейн Alephium.
Когда пользователи переключаются с Alephium на Ethereum [ETH], настоящий ALPH оказывается привязанным к одной цепочке. В дальнейшем Ethereum будет использоваться для создания завернутой версии (wALPH).
Прежде чем позволить монетному двору продолжить работу, трое стражей моста подтверждают, что замок действительно был установлен. Кроме того, для проверки межсетевых переводов система использует подписи опекунов.
Чтобы сообщение о передаче было одобрено мостиком, его должны подписать трое из четырех стражей. Однако в ходе атаки Alephium TokenBridge злоумышленникам каким-то образом удалось получить три закрытых ключа Guardian.
Получив эти ключи, они сфабриковали фальшивые сообщения моста, известные как VAA, и придали им вид подлинных.
«Чеканный» поворот
Помимо чеканки ALPH, поддельные VAA дали мосту инструкции освободить уже арестованные активы.
В результате того, что злоумышленники убедили мост в том, что были действительные выводы средств, Tether [USDT], USD Coin [USDC], Wrapped Bitcoin (WBTC) и Wrapped Ether (WETH) были разблокированы.
Не внеся реальный депозит ALPH, злоумышленники заработали 13,76 миллиона завернутых ALPH. По данным Blockaid, это более 100% ранее доступных поставок в упаковке.
Другими словами, злоумышленник, по сути, создал огромное количество активов, поддерживаемых ALPH, из воздуха.
Подобные атаки в прошлом
Это напоминает эксплойт «Червоточина моста», в ходе которого злоумышленники создавали активы, которые никогда не были обеспечены залогом, и подделывали сообщения моста.
Кроме того, это последовало за недавней атакой на мост Verus-Ethereum, в результате которой было потрачено примерно 11,58 миллиона долларов.
Итоговое резюме
В ходе этой атаки три из четырех скомпрометированных ключей Guardian привели к утечке 815 000 долларов США всего за семь минут.
Злоумышленники отчеканили 13,76 миллиона завернутых ALPH, фактически не внося ни одного ALPH.