Эксплойт Alephium TokenBridge в сети Ethereum: за 7 минут выведено $815 тыс.

Атаки на криптоинфраструктуру в 2026 году не ослабевают. 30 мая компания Blockaid, специализирующаяся на блокчейн-безопасности, выявила новый эксплойт, нацеленный на Alephium TokenBridge в сети Ethereum. По данным расследования, злоумышленники получили доступ к трём из четырёх guardian-ключей и использовали их для подписи поддельных VAA (Verified Action Approvals). Этого оказалось достаточно, чтобы за семь минут вывести около $815 000. Alephium TokenBridge связывает Ethereum и блокчейн Alephium. При переводе активов из Alephium в Ethereum исходный ALPH блокируется в одной сети, а в Ethereum выпускается его обёрнутая версия — wALPH. Перед выпуском три guardian'а должны подтвердить факт блокировки, а для одобрения сообщения о переводе требуются подписи трёх из четырёх guardian'ов. В данном инциденте, как установила Blockaid, приватные ключи трёх guardian'ов оказались скомпрометированы. После этого атакующие сформировали фальшивые сообщения моста (VAA), которые выглядели легитимными. Помимо выпуска wALPH поддельные VAA содержали инструкции на разблокировку ранее удерживаемых активов. Мост "поверил" в якобы корректные выводы, в результате чего были разблокированы Tether (USDT), USD Coin (USDC), Wrapped Bitcoin (WBTC) и Wrapped Ether (WETH). Не внося реальный ALPH, злоумышленники отчеканили 13,76 млн wrapped ALPH. По оценке Blockaid, это превысило 100% ранее доступного объёма обёрнутого предложения — фактически была создана крупная масса ALPH-обеспеченных активов "из воздуха". Схема напоминает эксплойт Wormhole Bridge, где также создавались не обеспеченные залогом активы через подделку сообщений моста. Инцидент произошёл на фоне недавней атаки на мост VerusEthereum, в ходе которой было выведено около $11,58 млн. Итог: компрометация трёх из четырёх guardian-ключей привела к выводу $815 тыс. за семь минут, а также к выпуску 13,76 млн wrapped ALPH без фактического депозита ALPH.