Вразливість моста Alephium змушує попередження про виведення ліквідності

Alephium попередив провайдерів ліквідності про виведення з пулів ALPH після того, як експлойт зняв близько $815 000 з його Токенового Моста на Ethereum та BNB Chain

ЗмістХакери зливають кілька активів мостуAlephium оскаржує звіт про ключ охоронцяВказівки провайдерам ліквідності виходити з пулівЗловмисник створив 13,76 мільйонів обгорнутих ALPH через несанкціоновану діяльність моста, тоді як кілька основних активів також залишили контракти зберігання. Команда закрила міст і заявила, що відновлювальні роботи тепер є пріоритетом.

Хакери зливають кілька активів мосту

Інцидент торкнувся USDT, USDC, WETH, WBTC і WBNB на Ethereum та BNB Chain. Раннє повідомлення про безпеку від Blockaid повідомило, що зловмисник отримав контроль над трьома з чотирьох ключів охоронця і використовував підроблені Підтвердження Дії для авторизації переказів.

Blockaid повідомив, що операція тривала близько семи хвилин. За цей час зловмисник створив більше обгорнутих ALPH, ніж попередній обсяг обгорнутих активів, і розблокував інші активи з мостового зберігання.

Аналізатор на блокчейні Specter повідомив, що обидва контракти мосту на Ethereum і BNB Chain були уражені. Аналізатор також зазначив, що викрадені кошти були переміщені з BNB Chain до Ethereum, а частина доходів згодом потрапила до Tornado Cash.

Alephium оскаржує звіт про ключ охоронця

Пізніше Alephium оскаржив ранню оцінку і заявив, що експлойт не виник через компрометацію ключа охоронця. Проєкт повідомив, що інцидент стався через вразливість поза мережею у бекенді моста, яка з’явилася в певних крайніх випадках.

Команда також надала розподіл знятих коштів. Вона повідомила, що зловмисник взяв 200 967 USDT, 17 594 USDC, 5.18 WETH і 0.335 WBTC з Ethereum. На BNB Chain втрати склали 36 750 USDT і 24.386 WBNB.

Alephium заявив, що його технічна команда зосереджена на усуненні проблем, відновленні та подальшому спілкуванні. Проєкт також пообіцяв більше оновлень у наступному тижні, працюючи над усуненням шкоди.

Провайдерам ліквідності наказано вийти з пулів

Alephium закликав користувачів не додавати ліквідність до пулів ALPH на Uniswap або PancakeSwap. Він також попросив існуючих провайдерів ліквідності вивести кошти і уникати обмінів проти уражених пулів.

Попередження було зроблено тому, що зловмисник не може викупити несанкціоновані обгорнуті ALPH через міст, поки він залишається офлайн. Однак додаткова ліквідність або торгівля можуть допомогти зловмиснику перетворити ці токени у цінність.

ALPH нещодавно торгувався за $0.037, тоді як його ринкова вартість перевищувала $5 мільйонів. Дані DefiLlama показали близько $756 000 у загальній заблокованій цінності в протоколах Alephium DeFi і понад $308 000 у мостовій цінності.

Атака додає до важкого місяця для міжланцюгових мостів. Gravity Bridge втратив $5.4 мільйона 30 травня, Verus-Ethereum — близько $11.5 мільйонів 18 травня, а THORChain зазнав скоординованої атаки на $10 мільйонів 15 травня. Ці інциденти знову привернули увагу до безпеки мостів, оскільки зловмисники продовжують цілитися в системи, що переміщують активи між окремими ланцюгами та мережами.