O Wormhole-fork TokenBridge da Alephium foi drenado na Ethereum e na BNB Chain em cerca de sete minutos depois que uma falha de back-end fora da cadeia permitiu que mensagens fraudulentas passassem por sua rede de quatro guardiões, disse a equipe em uma correção pública.
Alephium, uma camada 1 de prova de trabalho que executa uma bifurcação privada da ponte Wormhole, perdeu cerca de US$ 815.000 na rede Ethereum e BNB na sexta-feira depois que um invasor enviou mensagens forjadas através do backend da ponte e para fora do outro lado como transferências de aparência legítima, de acordo com a equipe. Alephium fechou a ponte e disse que nenhuma nova transação pode ser iniciada.
O invasor drenou 200.967 USDT, 17.594 USDC, 5,18 WETH e 0,335 WBTC no Ethereum, além de 36.750 USDT e 24.386 WBNB na cadeia BNB, de acordo com a contabilidade do Alephium, e cunhou 13,76 milhões de ALPH embrulhados no Ethereum sem nenhum ALPH correspondente bloqueado na cadeia Alephium. A sequência completa levou cerca de sete minutos, de acordo com a empresa de segurança blockchain Blockaid, que detectou a exploração primeiro e trouxe a unidade de resposta de emergência SEAL 911.
O número da manchete é pequeno para os padrões do ano-ponte de 2026 – os dados do PeckShield estimam as perdas cumulativas da ponte entre cadeias em cerca de US$ 329 milhões até meados de maio – mas o mecanismo de ataque é a parte a ser observada. Relatórios iniciais, inclusive do Blockaid, culparam chaves de guardiões comprometidas. Alephium e Blockaid revisaram isso desde então.
O que realmente quebrou
Em uma postagem de acompanhamento, a Blockaid disse que a exploração “não parece ter envolvido um comprometimento das chaves privadas dos guardiões. Em vez disso, parece ter envolvido uma exploração que permitiu que eventos/mensagens maliciosas forjadas fossem observadas e assinadas pelos guardiões”. A própria declaração pós-incidente do Alephium rastreou a causa raiz até “uma vulnerabilidade fora da cadeia no backend da ponte que poderia ser acionada em casos extremos específicos” e descartou um bug de contrato inteligente e um comprometimento chave.
A distinção é a história. Um incidente de chave roubada é uma falha de segurança operacional – um guardião que perde o controle de um dispositivo de assinatura. Um incidente de evento forjado é uma falha na camada de software entre os contratos on-chain da ponte e o processo off-chain que informa aos guardiões o que assinar. Os responsáveis, em outras palavras, assinaram assinaturas válidas sobre dados inválidos. Seis dessas aprovações assinadas foram suficientes para drenar a ponte.
Conjunto de Quatro Guardiões
O garfo de Alephium usa quatro guardiões com um quórum de três. A rede principal do Wormhole, em comparação, administra 19 guardiões e um quórum de 13 assinaturas. No conjunto maior do Wormhole, um bug de back-end que envia uma mensagem forjada para um único guardião ainda precisa convencer mais doze. Sob um conjunto de quatro guardiões, o mesmo bug só precisa convencer dois. A matemática é implacável quando o feed off-chain está errado.
O ALPH retido dentro da ponte em si não foi drenado e é recuperável, disse a equipe, e Alephium instou os detentores de ALPH na rede Ethereum e BNB a retirarem liquidez dos pools Uniswap e PancakeSwap imediatamente. Qualquer atividade de troca agora permite que o invasor converta em valor real os 13,76 milhões de ALPH empacotados sem respaldo que ainda estão na carteira do explorador.
Uma batida de padrão em 2026
As pontes entre cadeias têm sido o alvo mais movimentado no DeFi este ano. A ponte Verus-Ethereum perdeu US$ 11,5 milhões em 18 de maio devido a uma falha de validação de apoio – a mesma classe de bug, mensagens fraudulentas limpando um cheque que deveriam ter falhado – e a Gravity Bridge foi drenada em US$ 5,4 milhões em 30 de maio em uma suspeita de comprometimento da chave de assinatura. CrossCurve e Hyperbridge sofreram erros de mensagens fabricadas e verificadores no início do ano. As exposições variam; a arquitetura raramente o faz.
Alephium disse que o processo de recuperação para usuários com ALPH bloqueados na ponte será anunciado na próxima semana, juntamente com uma autópsia técnica completa e detalhes de um plano de compensação. A ponte permanece offline até então.
Fontesthedefiant
