Il fork del bridge Wormhole di Alephium ha subito una perdita di 815.000 dollari venerdì dopo che un attaccante ha iniettato messaggi falsificati dei guardian nel backend del bridge, bypassando i controlli di sicurezza senza mai rubare chiavi private. L’attacco ha colpito la liquidità tra Ethereum e BNB Chain, come riportato dal team.
Il meccanismo è importante. I bridge Wormhole si basano su un sistema distribuito di “guardian” – entità che firmano le transazioni cross-chain. L’attaccante non ha compromesso questi guardian né rubato le chiavi per firmare. Ha invece inviato direttamente messaggi fabbricati all’interno dell’infrastruttura del bridge come se fossero provenuti da guardian legittimi, e il sistema li ha accettati. È l’equivalente a livello software di qualcuno che riesce a far passare un assegno falso perché il controllo è fallito nel backend.
Questo incidente si differenzia notevolmente dall’hacking Wormhole del 2022 che costò al protocollo 325 milioni di dollari. Allora fu sfruttata una falla nel codice di validazione della firma. Qui non è stato necessario un exploit del codice, ma solo la falsificazione dei messaggi, il che suggerisce una verifica insufficiente dei messaggi, accesso ai sistemi interni, o una combinazione di entrambi.
Alephium utilizza un fork privato di Wormhole, ovvero il team ha personalizzato il bridge per la propria blockchain Layer 1. Questa personalizzazione potrebbe aver introdotto la vulnerabilità oppure aver permesso di individuare e correggere più rapidamente il problema rispetto ai fork pubblici. Il team ha confermato la perdita e ha dichiarato di star indagando sulle cause e implementando misure di sicurezza.
Gli attacchi ai bridge sono una tassa ricorrente sulla liquidità cross-chain. Nomad ha perso 190 milioni di dollari nell’agosto 2022. Poly Network ha subito fuoriuscite per 611 milioni nel 2021. Ogni attacco mina la fiducia degli utenti nel bridge colpito, ma raramente influenza significativamente l’adozione complessiva delle infrastrutture bridge – i trader semplicemente passano a soluzioni alternative con migliori track record di sicurezza.
Per Alephium in particolare, è probabile che questa situazione provochi un temporaneo ritiro di liquidità mentre i trader rivalutano il rischio controparte del bridge. La perdita di 815.000 dollari è abbastanza rilevante da giustificare un audit di sicurezza e una timeline pubblica per le correzioni. Si attendono il post-mortem del team e eventuali annunci sullo stop temporaneo del bridge o l’introduzione di sistemi di verifica più robusti. Fino ad allora, la liquidità sui corridoi Alephium–Ethereum e Alephium–BNB rimarrà sotto pressione.
Alephium Bridge perde $815K per messaggi falsificati, non furto chiavi
Alephium ha subito una perdita di $815K a causa di un exploit basato su messaggi falsificati nel bridge, senza coinvolgimento di furto di chiavi, con impatto su Ethereum e BNB Chain.