El puente de Alephium pierde unos 815.000 dólares tras mensajes falsificados de los guardianes

Alephium, una red Layer 1 de prueba de trabajo que opera un fork privado del puente Wormhole, sufrió el viernes pérdidas cercanas a 815.000 dólares en Ethereum y BNB Chain. Según el equipo, el atacante logró introducir mensajes falsificados en el backend del puente y hacer que se procesaran como transferencias aparentemente legítimas. Alephium ha desactivado el puente y ha indicado que no pueden iniciarse nuevas transacciones. De acuerdo con el recuento de Alephium, en Ethereum se sustrajeron 200.967 USDT, 17.594 USDC, 5,18 WETH y 0,335 WBTC. En BNB Chain, el botín incluyó 36.750 USDT y 24,386 WBNB. Además, el atacante acuñó 13,76 millones de wrapped ALPH en Ethereum sin que hubiera ALPH bloqueado de forma correspondiente en la cadena de Alephium. La secuencia completa duró unos siete minutos, según la firma de seguridad Blockaid, que detectó primero el exploit e involucró a la unidad de respuesta de emergencia SEAL 911. El importe no destaca frente a las cifras de 2026: datos de PeckShield sitúan las pérdidas acumuladas en puentes cross-chain en torno a 329 millones de dólares hasta mediados de mayo. El punto clave, según el sector, es el mecanismo del ataque. Los informes iniciales, incluidos los de Blockaid, apuntaban a un compromiso de claves de guardianes. Tanto Alephium como Blockaid han corregido esa lectura. En una publicación posterior, Blockaid señaló que el exploit "no parece haber implicado un compromiso de las claves privadas de los guardianes", sino que permitió que "eventos/mensajes maliciosos falsificados fueran observados y firmados por los guardianes". Alephium, por su parte, atribuyó la causa raíz a "una vulnerabilidad off-chain en el backend del puente que podía activarse en casos límite específicos", y descartó tanto un fallo de smart contract como un robo de claves. La diferencia es relevante: un incidente por claves robadas suele ser un fallo de seguridad operativa; un incidente por eventos falsificados apunta a una debilidad de software en la capa que conecta los contratos on-chain del puente con el proceso off-chain que alimenta a los guardianes con lo que deben firmar. En este caso, los guardianes habrían emitido firmas válidas sobre datos inválidos. Bastaron seis aprobaciones firmadas para vaciar el puente. El fork de Alephium utiliza cuatro guardianes con un quórum de tres. En comparación, Wormhole en mainnet opera con 19 guardianes y exige un quórum de 13 firmas. Con un conjunto mayor, un fallo de backend que empuje un mensaje falsificado a un guardián aún debe convencer a otros doce; con cuatro guardianes, el mismo fallo solo necesita persuadir a dos. Una vez se corrompe la fuente off-chain, el margen es mínimo. El equipo aseguró que los ALPH mantenidos dentro del propio puente no fueron drenados y pueden recuperarse. Alephium también instó a los tenedores de ALPH en Ethereum y BNB Chain a retirar de inmediato la liquidez de los pools de Uniswap y PancakeSwap, ya que cualquier actividad de intercambio permitiría al atacante convertir en valor real los 13,76 millones de wrapped ALPH sin respaldo que siguen en su cartera. Los puentes cross-chain han sido el objetivo más activo en DeFi este año. El puente Verus-Ethereum perdió 11,5 millones de dólares el 18 de mayo por un fallo de validación de respaldo, del mismo tipo: mensajes fraudulentos superando controles que debían fallar. El 30 de mayo, Gravity Bridge fue drenado por 5,4 millones de dólares en un caso en el que se sospecha un compromiso de claves de firma. CrossCurve y Hyperbridge también cayeron antes en el año por fallos ligados a mensajes fabricados y verificadores. Alephium indicó que la próxima semana anunciará el proceso de recuperación para usuarios con ALPH bloqueado en el puente, junto con un informe técnico completo y los detalles de un plan de compensación. Hasta entonces, el puente seguirá fuera de servicio.