Міст Alephium на базі Wormhole втратив $815,000 у п'ятницю після того, як зловмисник впровадив підроблені повідомлення опікунів прямо в інфраструктуру мосту, оминаючи ключові системи безпеки без крадіжки приватних ключів. Атака вплинула на ліквідність на Ethereum та BNB Chain, як повідомила команда.
Механізм атаки важливий для розуміння. Мости Wormhole покладаються на розподілену мережу «опікунів» – сутностей, які підписують трансфери між блокчейнами. Зловмисник не скомпрометував цих опікунів і не вкрав ключі підпису. Замість цього він впровадив фальшиві повідомлення прямо в інфраструктуру мосту так, ніби вони надійшли від легітимних опікунів, і система їх прийняла. Це своєрідний софтверний еквівалент того, коли хтось просовує підроблений чек касиру, оскільки процес перевірки дав збій на рівні інфраструктури.
Це істотно відрізняється від хаку Wormhole 2022 року, який коштував протоколу $325 мільйонів. Та атака експлуатувала вразливість у коді перевірки підписів. На цей раз не потрібна була уразливість коду – це була підробка повідомлень, що вказує на недостатню перевірку повідомлень, доступ до внутрішніх систем або й те, й інше.
Alephium використовує приватну версію Wormhole, тобто команда налаштувала міст для свого власного Layer 1 блокчейну. Це налаштування могло ввести вразливість, або ж команда просто виявила та виправила проблему швидше, ніж на публічних версіях. Команда підтвердила втрату та вказала, що вони розслідують причину та впроваджують захисні механізми.
Атаки на мости стали постійним видатком для кросчейн-ліквідності. Nomad втратив $190 мільйонів у серпні 2022. Poly Network втратив $611 мільйонів у 2021. Кожна атака підриває довіру користувачів до конкретного мосту, але рідко впливає на ширший прийняття мостової інфраструктури – трейдери просто перенаправляють потоки через альтернативи з кращими записами безпеки.
Для Alephium це, ймовірно, спровокує тимчасове зняття ліквідності, оскільки трейдери переоцінюють ризик контрагента на мосту. Втрата $815,000 досить суттєва, щоб потребувати аудиту безпеки та публічного графіку виправлення. Очікуйте на постмортем команди та будь-яке оголошення про паузу мосту або вдосконалені механізми верифікації. Доки вони не з'являться, ліквідність на коридорах Alephium–Ethereum та Alephium–BNB залишатиметься під тиском.
Міст Alephium втратив $815K через підроблені повідомлення
Alephium втратила $815 тис. через експлойт з підробленими повідомленнями містка, а не через вкрадені ключі, що вплинуло на Ethereum та BNB Chain.