Мост Alephium потерял $815K из-за подделки сообщений, не кражи ключей

Форк моста Wormhole от Alephium понёс убыток в $815 000 в пятницу после того, как злоумышленник внедрил поддельные сообщения от «стражей» в backend моста, обойдя ключевые меры безопасности без кражи приватных ключей. Атака затронула ликвидность как в Ethereum, так и в BNB Chain, согласно заявлению команды.

Здесь важен механизм работы. Мосты Wormhole опираются на распределённый набор «стражей» – участников, подписывающих кроссчейн-переводы. Злоумышленник не скомпрометировал этих стражей и не украл ключи подписи. Вместо этого он отправил сфальсифицированные сообщения напрямую через инфраструктуру моста, будто они исходили от легитимных стражей, и система их приняла. Это программный аналог подделки чека, который прошёл проверку из-за сбоя в верификации на серверной стороне.

Это заметно отличается от взлома Wormhole в 2022 году на $325 миллионов, где эксплуатировался программный баг в проверке подписей. Здесь не было использования ошибки кода – только подделка сообщений, что указывает на недостаточную проверку сообщений, наличие доступа к внутренним системам либо и то, и другое.

Alephium использует приватный форк Wormhole – команда адаптировала мост под собственный Layer 1 блокчейн. Эта доработка могла привести к уязвимости или же команда просто обнаружила проблему и быстрее начала её устранение, чем владельцы публичных форков. Команда подтвердила потерю, ведёт расследование причин и внедряет меры защиты.

Атаки на мосты становятся постоянным бременем для ликвидности кроссчейн-средств. В августе 2022 года Nomad потерял $190 миллионов, а Poly Network – $611 миллионов в 2021 году. Каждая атака снижает доверие к конкретному мосту, но редко серьёзно влияет на общую популярность мостовой инфраструктуры – трейдеры просто переходят к более безопасным альтернативам.

Для Alephium это, вероятно, вызовет временный отток ликвидности, поскольку участники рынка пересмотрят риски контрагентов на мосту. Потеря $815 000 достаточно существенна, чтобы потребовать аудита безопасности и обнародования сроков исправлений. Стоит ожидать подробного отчёта команды и возможного объявления о приостановке моста или усилении механизмов проверки. До тех пор ликвидность на каналах Alephium–Ethereum и Alephium–BNB останется под давлением.