Le fork du pont Wormhole d’Alephium a subi une perte de 815 000 $ vendredi après qu’un attaquant ait injecté de faux messages de gardiens dans le backend du pont, contournant des contrôles de sécurité clés sans jamais voler de clés privées. L’attaque a impacté la liquidité aussi bien sur Ethereum que sur BNB Chain, selon l’équipe.
Le mécanisme est important ici. Les ponts Wormhole dépendent d’un ensemble distribué de « gardiens » – entités qui valident les transferts cross-chain. L’attaquant n’a pas compromis ces gardiens ni volé les clés de signature. Il a plutôt introduit de faux messages directement dans l’infrastructure du pont, comme s’ils provenaient de gardiens légitimes, et le système les a acceptés. C’est l’équivalent logiciel d’une fausse remise de chèque acceptée parce que le processus de vérification a échoué en backend.
Cela diffère notablement du hack Wormhole de 2022, qui avait coûté 325 millions de dollars au protocole. Cette attaque exploitait une faille dans la validation des signatures. Celle-ci n’a pas nécessité d’exploitation de code – il s’agit d’une falsification de message, ce qui suggère une vérification inadéquate des messages, un accès aux systèmes internes, ou les deux.
Alephium utilise un fork privé de Wormhole, ce qui signifie que l’équipe a personnalisé le pont pour sa propre blockchain Layer 1. Cette personnalisation pourrait avoir introduit cette vulnérabilité, ou bien cela signifie que l’équipe a découvert et corrigé le problème plus rapidement que sur les forks publics. L’équipe a confirmé la perte et indiqué qu’elle enquêtait sur la cause racine et mettait en place des mesures de protection.
Les attaques contre les ponts représentent une charge récurrente sur la liquidité cross-chain. Nomad a perdu 190 millions en août 2022. Poly Network a perdu 611 millions en 2021. Chaque attaque érode la confiance envers le pont ciblé, mais a rarement un impact majeur sur l’adoption plus large de l’infrastructure des ponts – les traders se tournent simplement vers des alternatives mieux sécurisées.
Pour Alephium, cela entraînera probablement un retrait temporaire de liquidité, les traders réévaluant le risque de contrepartie sur le pont. La perte de 815 000 $ est suffisamment importante pour justifier un audit de sécurité et un calendrier public de remédiation. Il faudra suivre le rapport détaillé de l’équipe et toute annonce sur une suspension du pont ou le renforcement des mécanismes de vérification. Jusqu’à ce moment, la liquidité sur les corridors Alephium–Ethereum et Alephium–BNB restera sous pression.
Le pont Alephium a perdu 815K $ suite à des messages falsifiés, pas un vol de clés
Alephium a perdu 815 000 $ en raison d’une faille impliquant des messages falsifiés sur le pont, sans vol de clés, affectant Ethereum et BNB Chain.