La faille du pont Alephium oblige un avertissement de retrait de liquidités

Alephium a averti les fournisseurs de liquidité de retirer leurs fonds des pools ALPH après qu'une faille a drainé environ 815 000 $ de son Pont de Jetons sur Ethereum et BNB Chain

ContenuLes hackers drainent plusieurs actifs du pontAlephium conteste le rapport sur la clé du gardienLes fournisseurs de liquidité invités à quitter les poolsL'attaquant a créé 13,76 millions d'ALPH enveloppés via une activité de pont non autorisée, tandis que plusieurs actifs majeurs ont également quitté les contrats de garde. L'équipe a fermé le pont et a déclaré que le travail de récupération est désormais la priorité principale.

Les hackers drainent plusieurs actifs du pont

L'incident a affecté l'USDT, l'USDC, le WETH, le WBTC et le WBNB sur Ethereum et BNB Chain. Un rapport de sécurité précoce de Blockaid indique que l'attaquant a pris le contrôle de trois des quatre clés du gardien et a utilisé des Approbations d'Action Vérifiées falsifiées pour autoriser des transferts.

Blockaid a déclaré que l'opération a duré environ sept minutes. Pendant cette période, l'attaquant a créé plus d'ALPH enveloppés que l'offre enveloppée précédente et a déverrouillé d'autres actifs de la garde du pont.

L'analyste en chaîne Specter a rapporté que les contrats du pont sur Ethereum et BNB Chain ont été touchés. L'analyste a également indiqué que les fonds volés ont été transférés de BNB Chain vers Ethereum, et qu'une partie des gains est ensuite entrée dans Tornado Cash.

Alephium conteste le rapport sur la clé du gardien

Alephium a ensuite contesté l'évaluation précoce et a déclaré que l'exploit ne provenait pas d'une compromission de la clé du gardien. Le projet a indiqué que l'incident provenait d'une vulnérabilité hors chaîne dans le backend du pont qui apparaissait dans des cas spécifiques.

L'équipe a également fourni une ventilation des fonds drainés. Elle a indiqué que l'attaquant a pris 200 967 USDT, 17 594 USDC, 5,18 WETH et 0,335 WBTC sur Ethereum. Sur BNB Chain, les pertes comprenaient 36 750 USDT et 24,386 WBNB.

Alephium a déclaré que son équipe technique se concentre sur la remédiation, la récupération et une communication supplémentaire. Le projet a également promis plus de mises à jour dans la semaine à venir alors qu'il travaille à réparer les dégâts.

Les fournisseurs de liquidité invités à quitter les pools

Alephium a exhorté les utilisateurs à ne pas ajouter de liquidité aux pools ALPH sur Uniswap ou PancakeSwap. Il a également demandé aux fournisseurs de liquidité existants de retirer leurs fonds et d'éviter les échanges contre les pools affectés.

L'avertissement est venu parce que l'attaquant ne peut pas racheter l'ALPH enveloppé non autorisé via le pont tant qu'il reste hors ligne. Cependant, plus de liquidité ou d'activité commerciale pourrait aider l'attaquant à transformer ces tokens en valeur.

L'ALPH s'est récemment échangé à 0,037 $, tandis que sa valeur marchande dépassait 5 millions de dollars. Les données de DefiLlama ont montré environ 756 000 $ en valeur totale verrouillée dans les protocoles DeFi d'Alephium et plus de 308 000 $ en valeur bridgée.

L'attaque s'ajoute à un mois difficile pour les ponts inter-chaînes. Gravity Bridge a perdu 5,4 millions de dollars le 30 mai, Verus-Ethereum a perdu environ 11,5 millions de dollars le 18 mai, et THORChain a subi une attaque coordonnée de 10 millions de dollars le 15 mai. Ces incidents ont renouvelé la vigilance sur la sécurité des ponts alors que les attaquants continuent de cibler les systèmes qui déplacent des actifs entre différentes chaînes et réseaux.