coin-img-ETHETH-1.13%coin-img-BTCBTC-0.43%coin-img-SOLSOL-1.31%coin-img-XRPXRP-1.48%coin-img-USDCUSDC+0.00%coin-img-HYPEHYPE+5.29%coin-img-BNBBNB-1.52%coin-img-SUISUI-2.88%coin-img-ETHETH-1.13%coin-img-BTCBTC-0.43%coin-img-SOLSOL-1.31%coin-img-XRPXRP-1.48%coin-img-USDCUSDC+0.00%coin-img-HYPEHYPE+5.29%coin-img-BNBBNB-1.52%coin-img-SUISUI-2.88%coin-img-ETHETH-1.13%coin-img-BTCBTC-0.43%coin-img-SOLSOL-1.31%coin-img-XRPXRP-1.48%coin-img-USDCUSDC+0.00%coin-img-HYPEHYPE+5.29%coin-img-BNBBNB-1.52%coin-img-SUISUI-2.88%coin-img-ETHETH-1.13%coin-img-BTCBTC-0.43%coin-img-SOLSOL-1.31%coin-img-XRPXRP-1.48%coin-img-USDCUSDC+0.00%coin-img-HYPEHYPE+5.29%coin-img-BNBBNB-1.52%coin-img-SUISUI-2.88%

Взлом TokenBridge Alephium: за 7 минут похищено $815 тыс.

Мост TokenBridge проекта Alephium (ALPH) лишился примерно $815 тыс. из-за уязвимости, позволившей злоумышленнику проводить поддельные сообщения через сеть guardian'ов протокола и санкционировать фиктивные переводы токенов. Команда Alephium подтвердила, что первой атаку выявила блокчейн-компания по безопасности Blockaid. В расследовании также участвовало аварийное подразделение SEAL_911 от Security Alliance. По данным Alephium, вывод средств с TokenBridge на Ethereum и BNB Chain занял около семи минут. В сети Ethereum ущерб включал 200/967 Tether (USDT), 17/594 USD Coin (USDC), 5,18 Wrapped Ether (WETH) и 0,335 Wrapped Bitcoin (WBTC). На стороне BNB Chain дополнительно было выведено 36/750 USDT и 24,386 Wrapped BNB. Отдельно атакующий выпустил 13,76 млн необеспеченных wrapped ALPH и перевёл их напрямую на свой кошелёк. Alephium остановила работу моста и сообщила, что рассматривает все варианты компенсации пострадавшим пользователям. Инцидент усиливает негативную картину для кроссчейн-инфраструктуры в 2026 году. Потери от криптовзломов в апреле достигли $606 млн, а майская статистика по атакам на DeFi продолжала расти накануне июня. В общий итог также внесли вклад взломы мостов CrossCurve и Hyperbridge, по которым оценка ущерба была пересмотрена до $2,5 млн каждый. Поддельные сообщения, а не утечка ключей TokenBridge Alephium построен на форке протокола Wormhole, где кроссчейн-сообщения подтверждаются сетью guardian'ов. Для проведения перевода требуется кворум подписей, поэтому возможность внедрять мошеннические сообщения считается критической уязвимостью. Первые сообщения связывали взлом с компрометацией приватных ключей guardian'ов и проводили параллели с утечкой ключей Gravity Bridge, которая ранее в 2026 году обошлась в $5,4 млн. В постинцидентном обновлении Alephium эта версия оспаривается: "Похоже, что компрометации приватных ключей guardian'ов не было. Вместо этого, вероятно, использовалась уязвимость, позволившая наблюдать и подписывать guardian'ами поддельные вредоносные события/сообщения", заявили в Alephium. Разница принципиальна: утечка ключей указывает на операционный провал, тогда как атака с поддельными сообщениями означает ошибку в проверке входящих данных до их передачи на подпись. Похожая механика наблюдалась и при взломе моста Polkadot, когда злоумышленник мошеннически подтверждал транзакции и выпускал необеспеченные токены. Alephium сообщила, что позднее опубликует подробный технический разбор.
Выбрано
USDC
USDC+0.00%
WBTC
WBTC-0.40%
Отказ от ответственности: приведенный выше контент является лишь мнением автора и не отражает позицию BingX. Он не должен рассматриваться как инвестиционный совет от BingX. Для получения более подробной информации ознакомьтесь с Условиями и положениями.