El fork del puente Wormhole de Alephium sufrió una pérdida de $815,000 el viernes después de que un atacante inyectara mensajes falsificados de guardianes en el backend del puente, evitando controles clave de seguridad sin robar claves privadas. El ataque afectó la liquidez tanto en Ethereum como en BNB Chain, según el equipo.
El mecanismo importa aquí. Los puentes Wormhole dependen de un conjunto distribuido de "guardianes", entidades que firman transferencias entre cadenas. El atacante no comprometió a esos guardianes ni robó claves de firma. En cambio, envió mensajes fabricados directamente a través de la infraestructura del puente como si provinieran de guardianes legítimos, y el sistema los aceptó. Es el equivalente en nivel de software a pasar un cheque falsificado por un cajero porque el proceso de verificación falló en el backend.
Esto es notablemente distinto del hackeo de Wormhole en 2022 que costó al protocolo $325 millones. Ese ataque explotó un error en la validación de firmas. Este no necesitó una explotación de código: fue falsificación de mensajes, lo que indica una verificación inadecuada de mensajes, acceso a sistemas internos, o ambos.
Alephium utiliza un fork privado de Wormhole, lo que significa que el equipo personalizó el puente para su propia blockchain Layer 1. Esa personalización podría haber introducido la vulnerabilidad, o simplemente significar que el equipo detectó y corrigió el problema más rápido que en forks públicos. El equipo confirmó la pérdida e indicó que investigan la causa raíz e implementan medidas de seguridad.
Los ataques a puentes han sido un impuesto recurrente para la liquidez cross-chain. Nomad perdió $190 millones en agosto de 2022. Poly Network perdió $611 millones en 2021. Cada ataque erosiona la confianza en el puente afectado, pero rara vez afecta la adopción general de la infraestructura de puentes: los traders optan por alternativas con mejor historial de seguridad.
Para Alephium en particular, probablemente habrá una retirada temporal de liquidez mientras los traders reevaluan el riesgo de contraparte en el puente. La pérdida de $815,000 es significativa para justificar una auditoría de seguridad y un cronograma público para la remediación. Espere el informe del equipo y posibles anuncios sobre la pausa del puente o mecanismos de verificación mejorados. Hasta entonces, la liquidez en los corredores Alephium–Ethereum y Alephium–BNB continuará bajo presión.
Puente Alephium perdió $815K por mensajes falsificados, no robo de claves
Alephium perdió $815K debido a una explotación con mensajes falsificados en el puente, sin robo de claves, afectando Ethereum y BNB Chain.