Fork mostu Wormhole Alephium doznał straty 815 000 USD w piątek po tym, jak atakujący wprowadził sfałszowane komunikaty guardianów do zaplecza mostu, omijając kluczowe kontrole bezpieczeństwa, nie kradnąc przy tym kluczy prywatnych. Atak dotknął płynności na Ethereum i BNB Chain, zgodnie z oświadczeniem zespołu.
Mekanizm ma tu fundamentalne znaczenie. Mosty Wormhole opierają się na rozproszonym zestawie „guardianów” – podmiotów zatwierdzających transfery między łańcuchami. Atakujący nie przejął tych guardianów ani nie ukradł kluczy do podpisywania. Zamiast tego wprowadził spreparowane wiadomości bezpośrednio przez infrastrukturę mostu, tak jakby pochodziły od autentycznych guardianów, a system je zaakceptował. To odpowiednik przepuszczenia podrobionego czeku przez kasjera, bo proces weryfikacji zawiódł po stronie zaplecza.
To istotna różnica w stosunku do ataku na Wormhole w 2022 roku, który kosztował protokół 325 mln USD. Tamta sytuacja była wynikiem luki w weryfikacji podpisów. Tym razem nie potrzeba było błędu w kodzie – atak polegał na fałszowaniu komunikatów, co sugeruje niewystarczającą weryfikację lub dostęp do systemów wewnętrznych, a być może oba te czynniki.
Alephium korzysta z prywatnego forka Wormhole, co oznacza, że zespół dostosował most do własnego blockchainu warstwy pierwszej. Ta modyfikacja mogła wprowadzić lukę lub sprawiła, że problem został wykryty i załatany szybciej niż na publicznych forkach. Zespół potwierdził stratę i poinformował o trwającym dochodzeniu przyczyn oraz wdrażaniu zabezpieczeń.
Ataki na mosty to stały problem obciążający płynność międzyłańcuchową. W sierpniu 2022 Nomad stracił 190 mln USD, a Poly Network – 611 mln USD w 2021 roku. Każdy taki incydent osłabia zaufanie użytkowników do konkretnego mostu, lecz rzadko wpływa na szerszą adopcję infrastruktury mostowej – traderzy po prostu korzystają z bezpieczniejszych alternatyw.
W przypadku Alephium prawdopodobnie nastąpi tymczasowe wycofanie płynności, ponieważ uczestnicy rynku zweryfikują ryzyko kontrahenta związane z tym mostem. Strata 815 000 USD jest wystarczająco duża, by wymusić audyt bezpieczeństwa i publiczne ogłoszenie harmonogramu naprawczego. Należy oczekiwać raportu pokontrolnego zespołu oraz ewentualnych komunikatów o wstrzymaniu działania mostu lub wzmocnieniu mechanizmów weryfikacji. Do czasu ich wprowadzenia płynność na korytarzach Alephium–Ethereum i Alephium–BNB będzie pod presją.
Alephium stracił 815 tys. USD przez sfałszowane wiadomości, nie kradzież kluczy
Most Alephium na Ethereum i BNB Chain stracił 815 tys. USD przez atak z wykorzystaniem sfałszowanych komunikatów, nie poprzez kradzież kluczy prywatnych. Incydent pokazuje luki w weryfikacji wiadomości w infrastrukturze mostu.