Мост Alephium потерял $815 тыс. из‑за поддельных сообщений для guardian-узлов

PoW‑сеть первого уровня Alephium, использующая приватный форк моста Wormhole, в пятницу лишилась примерно $815 тыс. в сетях Ethereum и BNB Chain. По данным команды, злоумышленник провёл через бэкенд моста поддельные сообщения, которые на выходе выглядели как легитимные переводы. Мост остановлен, запуск новых транзакций невозможен. Согласно расчётам Alephium, на Ethereum было выведено 200,967 USDT, 17,594 USDC, 5.18 WETH и 0.335 WBTC. В сети BNB Chain — 36,750 USDT и 24.386 WBNB. Кроме того, на Ethereum было отчеканено 13.76 млн wrapped ALPH без соответствующей блокировки ALPH в сети Alephium. Как сообщила блокчейн‑компания по безопасности Blockaid, первой обнаружившая инцидент и подключившая аварийную команду SEAL 911, вся цепочка операций заняла около семи минут. На фоне "мостового" года 2026 цифра выглядит скромно: по данным PeckShield, совокупные потери кроссчейн‑мостов составляют около $329 млн к середине мая. Важнее механизм атаки. Первые сообщения, в том числе от Blockaid, указывали на компрометацию ключей guardian. Позднее Alephium и Blockaid пересмотрели выводы. В последующем разборе Blockaid отметила, что эксплойт "не выглядит как компрометация приватных ключей guardian. Вместо этого, похоже, была использована уязвимость, позволившая наблюдать и подписывать guardian-узлами поддельные вредоносные события/сообщения". Alephium в своём заявлении после инцидента назвала первопричиной "оффчейн‑уязвимость в бэкенде моста, которая могла срабатывать в отдельных пограничных случаях", исключив и баг смарт‑контракта, и компрометацию ключей. Разница принципиальна. Кража ключей — это провал операционной безопасности, когда хранитель теряет контроль над устройством подписи. Поддельное событие — это дефект программного слоя между ончейн‑контрактами моста и оффчейн‑процессом, который "кормит" guardian-узлы данными для подписи. Иными словами, подписи были корректными, но над неверными данными. Шести подписанных одобрений оказалось достаточно, чтобы вывести средства. Fork Alephium использует четыре guardian-узла с кворумом три. Для сравнения, основной Wormhole в mainnet работает с 19 guardian-узлами и кворумом 13 подписей. При большем наборе даже если бэкенд протолкнёт поддельное сообщение одному guardian, нужно убедить ещё двенадцать. В конфигурации из четырёх достаточно двух. Если оффчейн‑поток данных искажён, математика становится беспощадной. Команда сообщила, что ALPH, находившийся внутри самого моста, не был выведен и подлежит восстановлению. Alephium также призвала держателей ALPH в сетях Ethereum и BNB Chain немедленно вывести ликвидность из пулов Uniswap и PancakeSwap. Любая текущая активность обмена позволяет атакующему конвертировать 13.76 млн необеспеченных wrapped ALPH, всё ещё находящихся в кошельке эксплуатера, в реальную стоимость. Инцидент вписывается в общую картину 2026 года: кроссчейн‑мосты остаются самой атакуемой целью в DeFi. Мост VerusEthereum 18 мая потерял $11.5 млн из‑за ошибки проверки обеспечения — того же класса проблем, когда мошеннические сообщения проходят контроль, который должны были провалить. Gravity Bridge 30 мая лишился $5.4 млн при предполагаемой компрометации ключей подписи. Ранее в этом году CrossCurve и Hyperbridge пострадали от подделанных сообщений и ошибок верификаторов. Экспозиции различаются, архитектура — редко. Alephium заявила, что на следующей неделе объявит процесс возврата для пользователей, чьи ALPH были заблокированы в мосте, а также опубликует полный технический постмортем и детали плана компенсаций. До этого мост останется офлайн.