Cinco meses después de 2026, los ataques continúan. Blockaid, una empresa de seguridad blockchain, descubrió un nuevo exploit dirigido al Alephium TokenBridge de Ethereum el 30 de mayo.
Según la investigación, tres de cada cuatro claves de tutor comprometidas que firmaban VAA (Aprobaciones de acción verificadas) falsificadas se utilizaron para drenar 815.000 dólares en siete minutos.
¿Cómo se comprometieron las claves del guardián?
Por contexto, Alephium TokenBridge es un puente que une Ethereum y la cadena de bloques Alephium.
Cuando los usuarios cambian de Alephium a Ethereum [ETH]el ALPH real está encerrado en una sola cadena. En el futuro, Ethereum se utiliza para crear una versión empaquetada (wALPH).
Antes de permitir que continúe la ceca, tres guardianes del puente confirman que la cerradura efectivamente se hizo. Además, para verificar las transferencias entre cadenas, el sistema utiliza firmas de tutores.
Para que el puente apruebe un mensaje de transferencia, tres de los cuatro guardianes deben firmarlo. Sin embargo, en el ataque de Alephium TokenBridge, elLas tres claves privadas del guardián fueron de alguna manera obtenido por los atacantes.
Después de obtener esas claves, fabricaron mensajes puente falsos conocidos como VAA y los hicieron parecer auténticos.
El giro de la ‘acuñación’
Además de acuñar ALPH, los VAA falsificados dieron instrucciones al puente para liberar activos que ya estaban arrestados.
Como resultado de que los atacantes convencieran al puente de que había habido retiros válidos, Tether [USDT]Moneda USD [USDC]Wrapped Bitcoin (WBTC) y Wrapped Ether (WETH) fueron desbloqueados.
Sin realizar un depósito ALPH real, los atacantes ganaron 13,76 millones de ALPH envueltos. Según Blockaid, esto era más del 100% del suministro envuelto anteriormente disponible.
En otras palabras, el atacante esencialmente produjo de la nada una gran cantidad de activos respaldados por ALPH.
Ataques similares en el pasado
Esto se parece al Wormhole Bridge Exploit, en el que los atacantes crearon activos que nunca estuvieron respaldados por garantías y falsificaron mensajes puente.
Además, esto se produjo tras un reciente ataque al puente Verus-Ethereum, que agotó aproximadamente 11,58 millones de dólares.
Resumen final
- En este ataque, tres de cada cuatro claves de guardián comprometidas resultaron en la pérdida de 815.000 dólares en sólo siete minutos.
- Los atacantes acuñaron 13,76 millones de ALPH envueltos sin depositar ningún ALPH.