Alephium TokenBridge fue hackeado, con una pérdida de 815,000 dólares.

El atacante controló 3 de las 4 claves Guardian, y en 7 minutos falsificó VAA, acuñando de la nada 13.76 millones de ALPH empaquetados, más del 100% del suministro en circulación antes del ataque.
Esto no fue un "error de código" técnico, sino un colapso de confianza en la gobernanza.
Las firmas múltiples pretenden diversificar riesgos, pero cuando 3 de 4 claves pueden ser controladas por una misma entidad, la firma múltiple se convierte en un punto único de fallo.
El mecanismo de almacenamiento de claves Guardian, la separación en caliente y en frío, y el rotatorio periódico, son problemas básicos que a menudo se ignoran en el diseño de puentes entre cadenas.
Lo que es aún más preocupante es que el atacante no solo acuñó tokens, sino que también desbloqueó USDT, USDC, WBTC y WETH desde el pool de custodia.
Esto significa que los pools de liquidez del puente entre cadenas no son completamente independientes, sino que están profundamente ligados a los permisos de gobernanza.
Una vez que la gobernanza se pierde, todos los activos en el pool quedan expuestos a riesgos.
Alephium no es un caso aislado. En 2025, ataques a puentes entre cadenas como Wormhole y Nomad revelaron problemas similares, pero la industria parece no haber aprendido la lección.
Como infraestructura clave para el flujo de activos entre ecosistemas, la seguridad de los puentes entre cadenas debe pasar de "confiar en unos pocos" a "código verificable".
Para los usuarios, un criterio simple: si las actualizaciones o permisos de pausa de un puente entre cadenas están concentrados en unas pocas direcciones, su seguridad no es mejor que la de un exchange centralizado.
En el mundo DeFi, la gobernanza equivale a riesgo.
$usdt #usdc #w #wbtc #defi