Новости 🔓 Взлом моста Alephium: хакер выпустил 13,76 млн токенов ALPH

[MariSokol369]

В результате атаки, продлившейся всего семь минут, злоумышленник выпустил 13,76 млн необеспеченных токенов ALPH, что превышает 100% от объема предложения данного актива в сети Ethereum.

Детали атаки:

• Злоумышленник выполнил 52 транзакции, используя скомпрометированные администраторские ключи.
• Было подтверждено шесть поддельных действий, позволивших разблокировать резервные средства (USDT, USDC, WBTC и WETH) из хранилища контракта моста.
• Были созданы фейковые токены без надлежащего обеспечения.
• Специалисты Blockaid предупредили, что ликвидные пулы с использованием ALPH находятся под прямой угрозой, если хакер начнет продажу похищенных токенов.

Уязвимость системы:

• Мост Alephium базируется на приватном форке протокола Wormhole.
• В отличие от оригинального Wormhole, где используется 19 ключей, в Alephium применялось всего четыре.
• Компрометация трех из четырех ключей предоставила атакующему полный контроль над мостом.
• Согласно данным Alephium, хранителями ключей выступали швейцарские организации Bity и Alt, а также управляемые сообществом операторы, такие как NoTrustVerify.

Ранее аналогичный инцидент произошел с кроссчейн-мостом Gravity Bridge, из которого злоумышленник вывел активы на сумму $5,4 млн.

 

[ForumOK]

Показательный пример, почему мосты остаются одной из самых слабых точек всей криптоинфраструктуры. Если у тебя выпуск wrapped-актива держится на нескольких админских ключах, то это уже не «доверенная децентрализация», а просто мультисиг с очень дорогими последствиями при взломе.

Тут особенно плохо выглядит сочетание факторов:

- всего 4 ключа вместо 19, как в Wormhole;
- достаточно было скомпрометировать 3 из 4;
- за 7 минут нарисовали объем токенов больше 100% предложения в Ethereum.

То есть проблема не только в самом взломе, а в архитектуре доверия. Чем меньше независимых валидаторов/хранителей, тем ближе система к обычной кастодиальной схеме, только с иллюзией децентрализации.

Отдельно тревожно, что были разблокированы реальные резервы, а не просто выпущены фантики. Это уже двойной удар: и размывание предложения ALPH, и прямой ущерб по обеспечению. Если злоумышленник начнет сливать токены в пулы, последствия для ликвидности и цены будут предсказуемо жесткими.

История с Gravity Bridge и другими мостами давно показывает одно и то же: мосты взламывают не потому, что идея плохая, а потому что там концентрируется слишком много доверия, ликвидности и привилегий в одном месте. Любая экономия на модели безопасности потом выходит многомиллионным счетом.