O fork da ponte Wormhole da Alephium sofreu uma perda de $815.000 na sexta-feira após um atacante injetar mensagens de guardiões forjadas no backend da ponte, contornando controles de segurança importantes sem jamais roubar chaves privadas. O ataque afetou a liquidez tanto na Ethereum quanto na BNB Chain, segundo a equipe.
O mecanismo aqui é crucial. As pontes Wormhole dependem de um conjunto distribuído de “guardiões” – entidades que autorizam transferências cross-chain. O atacante não comprometeu esses guardiões nem roubou chaves de assinatura. Em vez disso, enviou mensagens fabricadas diretamente pela infraestrutura da ponte, como se viessem de guardiões legítimos, e o sistema as aceitou. É o equivalente em software a alguém passar um cheque forjado porque o processo de verificação falhou no backend.
Isso difere significativamente do hack da Wormhole em 2022, que custou ao protocolo $325 milhões. Aquela exploração usou uma falha no código de validação de assinaturas. Esta não precisou de exploração de código – foi falsificação de mensagens, o que indica verificação insuficiente das mensagens, acesso a sistemas internos ou ambos.
Alephium usa um fork privado do Wormhole, o que significa que a equipe personalizou a ponte para sua própria blockchain Layer 1. Essa personalização pode ter introduzido a vulnerabilidade, ou simplesmente indica que a equipe descobriu e corrigiu o problema mais rápido do que nos forks públicos. A equipe confirmou a perda e indicou que está investigando a causa raiz e implementando medidas de segurança.
Ataques a pontes têm sido um custo recorrente para a liquidez cross-chain. Nomad perdeu $190 milhões em agosto de 2022. Poly Network sofreu perdas de $611 milhões em 2021. Cada ataque corrói a confiança no respectivo ponte, mas raramente afeta a adoção mais ampla da infraestrutura de pontes – os traders apenas migram para alternativas com histórico de segurança melhor.
Para Alephium especificamente, isso provavelmente causará uma retirada temporária de liquidez, enquanto traders reavaliam o risco da contraparte na ponte. A perda de $815.000 é significativa o suficiente para justificar uma auditoria de segurança e um cronograma público para correções. Aguarde o relatório detalhado da equipe e possíveis anúncios sobre suspensão da ponte ou fortalecimento dos mecanismos de verificação. Até lá, a liquidez nos corredores Alephium–Ethereum e Alephium–BNB continuará pressionada.
Ponte Alephium perdeu $815K por mensagens forjadas, não roubo de chaves
Alephium perdeu $815K devido a uma exploração com mensagens forjadas na ponte, sem roubo de chaves, afetando Ethereum e BNB Chain.