Un exploit en TokenBridge de Alephium drena 815.000 dólares en siete minutos

TokenBridge de Alephium (ALPH) sufrió un drenaje de unos 815.000 dólares después de que un atacante aprovechara un fallo que permitió que mensajes falsificados atravesaran la red de guardianes del protocolo y autorizaran transferencias de tokens fraudulentas. El equipo de Alephium confirmó que la firma de seguridad blockchain Blockaid fue la primera en detectar el exploit. La unidad de respuesta de emergencia SEAL_911 de The Security Alliance también prestó apoyo y mantuvo una alta capacidad de respuesta durante la investigación posterior. El ataque se ejecutó en menos de siete minutos, con movimientos de fondos desde TokenBridge tanto en Ethereum como en BNB Chain. En Ethereum, las pérdidas incluyeron 200.967 Tether (USDT), 17.594 USD Coin (USDC), 5,18 Wrapped Ether (WETH) y 0,335 Wrapped Bitcoin (WBTC). En el lado de BNB Chain, se retiraron 36.750 USDT adicionales y 24,386 Wrapped BNB. El atacante también acuñó 13,76 millones de wrapped ALPH sin respaldo y los transfirió directamente a su cartera. Alephium desactivó el puente e indicó que está evaluando todas las opciones para compensar a los usuarios afectados. En una comunicación del 30 de mayo de 2026, la compañía agradeció públicamente a @blockaid_ por detectar primero el incidente y a @SEAL_911 por su asistencia durante el proceso. El episodio agrava el deterioro de la seguridad en la infraestructura crosschain en 2026. En abril, las pérdidas por hackeos cripto alcanzaron 606 millones de dólares, y el recuento de ataques en DeFi durante mayo siguió aumentando a las puertas de junio. También sumaron al total anual los exploits de los puentes CrossCurve e Hyperbridge, ambos revisados a 2,5 millones de dólares. Mensajes falsificados, no claves robadas Los desarrolladores construyeron TokenBridge de Alephium a partir de un fork del protocolo Wormhole, que se apoya en una red de guardianes para validar mensajes entre cadenas. Para ejecutar una transferencia, es necesario el visto bueno de un quórum de guardianes; por eso, la posibilidad de inyectar mensajes fraudulentos constituye una vulnerabilidad de alto impacto. Los primeros informes atribuyeron la brecha a un compromiso de claves privadas de los guardianes, con comparaciones al caso de Gravity Bridge, donde una filtración de claves costó 5,4 millones de dólares a principios de 2026. La actualización posterior al incidente de Alephium contradice ese enfoque. "El exploit no parece haber implicado una filtración de claves privadas de los guardianes. En su lugar, parece haber consistido en un ataque que permitió que eventos/mensajes maliciosos falsificados fueran observados y firmados por los guardianes", señaló Alephium. La diferencia es relevante: una filtración de claves apunta a un fallo operativo, mientras que un ataque con mensajes falsificados sugiere un problema en la validación de los datos entrantes antes de presentarlos a los guardianes. Una dinámica similar se vio en el exploit de un puente de Polkadot, donde el atacante validó transacciones de forma fraudulenta y acuñó tokens sin respaldo. Alephium adelantó que publicará próximamente un informe técnico completo (postmortem) con más detalles.