De Wormhole-bridge fork van Alephium leed vrijdag een verlies van $815.000 nadat een aanvaller vervalste guardian-berichten in de backend van de bridge injecteerde. Hierdoor werden belangrijke beveiligingscontroles omzeild zonder dat ooit privésleutels werden gestolen. Volgens het team heeft de aanval liquiditeit op zowel Ethereum als BNB Chain getroffen.
Het mechanisme achter deze aanval is van belang. Wormhole-bridges vertrouwen op een gedistribueerde groep "guardians" – partijen die cross-chain transfers ondertekenen. De aanvaller heeft deze guardians niet gehackt of hun sleutels gestolen. In plaats daarvan heeft hij gefabriceerde berichten direct via de bridge-infrastructuur gestuurd alsof ze afkomstig waren van legitieme guardians, en het systeem accepteerde deze. Dit is vergelijkbaar met iemand die een vervalste cheque door een bankmedewerker heen krijgt omdat het verificatieproces aan de achterkant faalde.
Hiermee verschilt deze aanval duidelijk van de Wormhole-hack van 2022 die het protocol $325 miljoen kostte. Destijds werd een programmeerfout in de handtekeningvalidatie uitgebuit. Deze keer was er geen code-exploit nodig – het ging om vervalste berichten, wat wijst op onvoldoende controle op berichtvalidatie, toegang tot interne systemen, of beide.
Alephium gebruikt een private fork van Wormhole, waarbij het team de bridge heeft aangepast voor hun eigen Layer 1 blockchain. Die aanpassing kan de kwetsbaarheid hebben geïntroduceerd, of het kan betekenen dat het team het probleem sneller ontdekte en oploste dan bij publieke forks. Het team heeft het verlies bevestigd en meldt dat het de onderliggende oorzaak onderzoekt en beveiligingsmaatregelen implementeert.
Aanvallen op bridges zijn een terugkerende last voor cross-chain liquiditeit. Nomad verloor in augustus 2022 $190 miljoen. Poly Network liep in 2021 een verlies van $611 miljoen op. Elke aanval schaadt het vertrouwen van gebruikers in de specifieke bridge, maar heeft zelden impact op de bredere adoptie van bridge-infrastructuur – handelaren kiezen gewoon voor alternatieven met een betere reputatie op het gebied van veiligheid.
Voor Alephium zal dit vermoedelijk leiden tot een tijdelijke liquiditeitsvermindering, omdat handelaren het tegenpartijrisico op de bridge heroverwegen. Het verlies van $815.000 is aanzienlijk genoeg om een veiligheidsaudit en een openbare planning voor herstelwerkzaamheden te rechtvaardigen. We kunnen binnenkort een postmortem van het team verwachten, evenals mogelijke aankondigingen over het pauzeren van de bridge of het invoeren van strengere verificatiemechanismen. Tot die tijd blijft de liquiditeit op de Alephium–Ethereum en Alephium–BNB routes onder druk staan.
Alephium Bridge verloor $815K door vervalste berichten, niet door diefstal sleutels
Alephium leed $815K schade door een exploit met vervalste brugberichten, zonder dat privésleutels werden gestolen. Het incident trof de liquiditeit tussen Ethereum en BNB Chain.