Неизвестный вывел из криптомоста Alephium TokenBridge в сети Эфириума активы на сумму около $815 000. Хакер также создал 13,76 млн необеспеченных обернутых токенов ALPH, переведя напрямую на свой кошелек, сообщили специалисты по блокчейн-безопасности компании Blockaid.
Вся атака заняла около семи минут и была завершена за 52 транзакции. Злоумышленник использовал украденные ключи администраторов для подтверждения шести поддельных действий, с помощью чего разблокировал USDT, USDC, WBTC и WETH из хранящихся внутри контракта моста резервных средств — и создал фейковые токены без соответствующего обеспечения в сети Alephium.
13,76 млн монет — это превышает 100% предложения ALPH в Эфириуме. Ликвидные пулы, сочетающие ALPH с другими токенами, подвергаются непосредственному риску, если злоумышленник начнет продавать токены, предупредили специалисты Blockaid.
Мост Alephium построен на базе приватного форка Wormhole — протокола межсетевого обмена сообщениями, используемого в крупных DeFi‑мостах. Однако, в отличие от основной версии Wormhole, Alephium работает всего с четырьмя ключами администраторов, а не с 19. Три из четырех ключей были скомпрометированы, что дало злоумышленнику полный контроль над мостом, выяснили аналитики. По сведениям Alephium, в список хранителей входили швейцарские организации Bity и Alt, а также операторы типа NoTrustVerify, управляемые сообществом.
Ранее неизвестный злоумышленник вывел криптоактивы на общую сумму $5,4 млн из кроссчейн-моста Gravity Bridge, соединяющего Эфириум и экосистему Cosmos.