Il TokenBridge di Alephium (ALPH) è stato svuotato di circa 815.000 dollari dopo che un attaccante ha sfruttato una vulnerabilità che ha permesso a messaggi contraffatti di superare la rete guardian del protocollo, autorizzando trasferimenti di token fraudolenti.
Il team di Alephium ha confermato che Blockaid, azienda specializzata in sicurezza blockchain, è stata la prima a rilevare l’exploit. Anche l’unità di risposta d’emergenza SEAL_911 di Security Alliance ha fornito supporto e prontezza nel corso dell’indagine successiva.
Un exploit svuota 815.000 dollari in meno di 7 minuti
L’attaccante ha spostato fondi dal TokenBridge di Alephium sia su Ethereum che su BNB Chain in circa sette minuti. Su Ethereum, le perdite hanno incluso 200.967 Tether (USDT), 17.594 USD Coin (USDC), 5,18 Wrapped Ether (WETH) e 0,335 Wrapped Bitcoin (WBTC).
Altri 36.750 USDT e 24,386 Wrapped BNB sono stati prelevati dal lato BNB Chain del bridge. L’attaccante ha anche coniato 13,76 milioni di wrapped ALPH non garantiti trasferendoli direttamente nel proprio wallet.
Alephium ha chiuso il bridge e ha dichiarato che sta valutando tutte le opzioni per rimborsare completamente gli utenti colpiti.
L’incidente si aggiunge al quadro sempre più preoccupante per le infrastrutture cross-chain nel 2026. Le perdite per hack crypto di aprile hanno raggiunto 606 milioni di dollari, e il conteggio degli hack DeFi di maggio continua ad aumentare all’inizio di giugno.
Anche l’exploit del bridge CrossCurve e quello di Hyperbridge, entrambi rivisti a 2,5 milioni di dollari, hanno contribuito ad aumentare il totale annuale.
Messaggi contraffatti, non chiavi rubate
Gli sviluppatori hanno realizzato il TokenBridge di Alephium su un fork del protocollo Wormhole, che si basa su una rete di guardian per validare i messaggi cross-chain. Un quorum di guardian deve approvare ogni trasferimento, quindi la possibilità di iniettare messaggi fraudolenti rappresenta una vulnerabilità ad alto impatto.
I primi report avevano attribuito la violazione a un compromesso delle chiavi private dei guardian, tracciando parallelismi con il compromesso chiavi di Gravity Bridge che era costato 5,4 milioni di dollari all’inizio del 2026. L’aggiornamento post-incidente fornito da Alephium smentisce questa ricostruzione.
“Non sembra che l’exploit abbia riguardato un compromesso delle chiavi private dei guardian. Piuttosto, pare abbia coinvolto un exploit che ha permesso a eventi/messaggi malevoli contraffatti di essere osservati e firmati dai guardian”, afferma Alephium
La distinzione è importante. Un compromesso delle chiavi indica un problema operativo, mentre un attacco basato su messaggi contraffatti evidenzia una falla nelle modalità con cui il bridge validava i dati in ingresso prima di presentarli ai guardian.
Si è verificata una dinamica simile nell’exploit del bridge Polkadot, dove l’attaccante ha validato fraudolentemente transazioni e coniato token non garantiti. Alephium ha dichiarato che il suo team pubblicherà presto un’analisi tecnica dettagliata sull’accaduto.
