Saltar al contenido
Est. MMXXVIVol. VI · № 291RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 282Exploit de puente

Exploit del TokenBridge de Alephium

Un atacante envió VAAs de guardián falsificadas al TokenBridge de Alephium (un fork de Wormhole) y drenó unos 815.000 dólares en activos en custodia de Ethereum y BNB Chain en unos siete minutos.

Fecha
Víctima
Alephium
Cadena(s)
AlephiumEthereumBNB Chain
Estado
Fondos robados

El 30 de mayo de 2026, el TokenBridge entre cadenas de Alephium —un fork de Wormhole— fue explotado por aproximadamente 815.000 dólares. El atacante envió Verified Action Approvals (VAAs) falsificadas que el conjunto de guardianes del puente aceptó como genuinas, desbloqueando reservas en custodia en Ethereum y BNB Chain en unos siete minutos.

Qué ocurrió

El puente de Alephium ejecutaba un fork de Wormhole protegido por solo cuatro guardianes, muy por debajo del conjunto de la red principal de Wormhole, con 19 guardianes y un quórum de 13 firmas. La firma de seguridad Blockaid informó de que el atacante obtuvo el control de tres de las cuatro claves de guardián —suficiente para firmar seis VAAs falsificadas y llamar a completeTransfer en el proxy del TokenBridge. Esos mensajes ordenaron al contrato liberar activos en custodia: en Ethereum unos 200.967 USDT, 17.594 USDC, 5,18 WETH y 0,335 WBTC, más 36.750 USDT y 24,386 WBNB en el lado de BNB Chain. El atacante también acuñó 13,76 millones de wrapped ALPH (wALPH) sin respaldo directamente en sus propias carteras.

Consecuencias

Alephium detuvo el puente y advirtió a los proveedores de liquidez que retiraran fondos hasta nuevo aviso. El 2 de junio de 2026, los guardianes restantes ejecutaron una recuperación autorizada que quemó el wALPH sin respaldo en poder de las carteras del atacante en una sola transacción, impidiendo su venta. Los aproximadamente 815.000 dólares en activos reales en custodia no se recuperaron; el equipo afirmó que estaba explorando opciones para resarcir a los usuarios afectados.

Por qué importa

El incidente de Alephium es un caso de manual de fallo de quórum de guardianes: un fork de Wormhole hereda el modelo de confianza de Wormhole pero no su descentralización, y cuatro firmantes son un objetivo pequeño. Recuerda al fallo original de verificación de firmas de Wormhole y al patrón de mensajes falsificados de Nomad Bridge. Como Gravity Bridge y el puente de Syscoin a comienzos de 2026, demuestra que la seguridad de un puente se reduce a la integridad de la validación de mensajes fuera de la cadena: cuando un atacante puede falsificar las aprobaciones en las que confía un puente, el código on-chain entrega obedientemente activos reales.

Fuentes y evidencia on-chain

  1. [01]alephium.orghttps://alephium.org/news/post/the-alephium-bridge-exploit-on-chain-report/
  2. [02]thedefiant.iohttps://thedefiant.io/news/hacks/alephium-bridge-815k-forged-guardian-messages
  3. [03]phemex.comhttps://phemex.com/news/article/alephium-tokenbridge-hacked-815000-in-assets-stolen-86934
  4. [04]cryptotimes.iohttps://www.cryptotimes.io/2026/05/30/alephium-bridge-exploited-for-815k-13-76m-unbacked-alph-minted/

Registros relacionados