Мост токенов Alephium эксплуатировали за 815 тысяч долларов, поскольку хакеры чеканили миллионы необеспеченных ALPH

Хакеры украли около 815 000 долларов США из Token Bridge компании Alephium на Ethereum. Они отчеканили 13,76 миллиона завернутых токенов ALPH в результате поддельных транзакций, что побудило проект предупредить поставщиков ликвидности о необходимости немедленно забрать свои средства.

Этот эксплойт усугубляет растущее число атак на мосты, произошедших в мае. Мост Verus-Ethereum потерял около 11,5 миллионов долларов в результате атаки 18 мая, а Cryptopolitan сообщил ранее 30 мая, что Gravity Bridge потерял 5,4 миллиона долларов, в тот же день, когда TokenBridge компании Alephium подвергся эксплойту.

Что сделало атаку успешной?

Фирма по обеспечению безопасности блокчейна Blockaid обнаружила эксплойт и сообщила, что злоумышленник скомпрометировал три из четырех ключей Guardian, защищающих мост. Получив контроль над большинством подписей, злоумышленник подделал Verified Action Approvals (VAA) — криптографические сообщения, которые разрешают межсетевые передачи.

По данным Blockaid, вся операция заняла около семи минут. Злоумышленник использовал поддельные VAA для чеканки 13,76 миллионов завернутых токенов ALPH, что, как сообщается, составляет более 100% от предыдущего запаса токенов. Дополнительные активы, в том числе $USDT, $USDC, WBTC и WETH, были разблокированы из контракта на хранение моста.

Ончейн-аналитик Spectre отметил, что атака затронула контракты моста Ethereum и $BNB Chain. Spectre заявил, что злоумышленник затем перевел украденные средства из $BNB Chain в Ethereum, а часть уже была переведена в Tornado Cash, согласно анализу Spectre, опубликованному на X.

Алефиум отрицает компрометацию ключа Guardian

Тем не менее, Alephium предоставил дополнительные обновления, оспаривающие заявление Blockaid, заявив: «Эксплойт НЕ был вызван компрометацией ключей Guardian, вопреки некоторым ранним внешним отчетам».

Согласно протоколу, эксплойт был «вызван автономной уязвимостью в серверной части моста, которая могла сработать в определенных крайних случаях».

Алефиум представил разбивку средств, которые были потрачены через Ethereum и $BNB, заявив, что 200 967 $USDT, 17 594 $USDC, 5,18 WETH и 0,335 WBTC были взяты из первого, а 36 750 $USDT и 24,386 WBNB были взяты из $BNB.

Алефиум просит LP уйти

Alephium также предупредил всех, кто предоставляет ликвидность пулам ALPH на Uniswap или PancakeSwap.

В последующем обновлении платформа подробно объяснила причину, по которой она просила пользователей вывести ликвидность, заявив: "Поскольку мост закрыт, злоумышленник не может выкупить или соединить эти завернутые ALPH обратно через мост Alephium. Поэтому мы просим пользователей не предоставлять ликвидность пулам ALPH в Ethereum или $BNB Chain, снимать любую существующую ликвидность и не обменивать их на эти пулы", добавив, что "Дополнительная ликвидность или торговая активность увеличит способность злоумышленника извлечь выгоду из неавторизованно завернутого ALPH».

В настоящее время ALPH торгуется по цене 0,037 доллара США с рыночной капитализацией более 5 миллионов долларов США, в то время как общая заблокированная стоимость (TVL) по протоколам DeFi Alephium составляет примерно 756 000 долларов США, а мостовой TVL составляет более 308 000 долларов США, согласно данным DefiLlama. Команда Alephium заявила, что в настоящее время они сосредоточены на усилиях по восстановлению и исправлению ситуации, и пообещала поделиться дополнительными обновлениями на следующей неделе.

Жестокий месяц для мостов

Эксплойт Alephium усугубляет то, что стало наказанием для кроссчейн-инфраструктуры.

Согласно отчету Cryptopolitan, в результате взлома Gravity Bridge, о котором также сообщалось в тот же день, было потрачено 5,4 миллиона долларов из-за того, что, по мнению сетевых аналитиков, было компрометацией ключа контракта.

По данным хакерской базы данных DefiLlama, примерно двумя неделями ранее мост Verus-Ethereum потерял 11,5 миллионов долларов из-за эксплойта обхода проверки. Как сообщает Cryptopolitan, 15 мая THORChain также подвергся скоординированной атаке стоимостью 10 миллионов долларов на Bitcoin, Ethereum, $BNB Chain и Base.

В последнее время на межсетевые мосты участились атаки со стороны злоумышленников, и по состоянию на середину мая только в 2026 году они потеряли более 326 миллионов долларов.

По данным DefiLlama, на протоколы моста приходится 3,2 миллиарда долларов из 16,6 миллиарда долларов общей суммы, взломанной за всю историю криптовалют, что является непропорциональной долей, учитывая относительно небольшое количество протоколов моста по сравнению с другими категориями DeFi.

Постоянная уязвимость этих платформ и растущая частота атак с апреля по май затрудняют игнорирование этой закономерности.