Aller au contenu
Fondé MMXXVIVol. VI · № 291RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 282Exploit de pont

Exploit du TokenBridge d'Alephium

Un attaquant a soumis de fausses VAA de gardiens au TokenBridge d'Alephium (un fork de Wormhole), vidant environ 815 000 dollars d'actifs en garde depuis Ethereum et BNB Chain en sept minutes environ.

Date
Victime
Alephium
Chaîne(s)
AlephiumEthereumBNB Chain
Statut
Fonds dérobés

Le 30 mai 2026, le TokenBridge inter-chaînes d'Alephium — un fork de Wormhole — a été exploité pour environ 815 000 dollars. L'attaquant a soumis de fausses Verified Action Approvals (VAA) que l'ensemble des gardiens du pont a acceptées comme authentiques, débloquant des réserves en garde sur Ethereum et BNB Chain en sept minutes environ.

Ce qui s'est passé

Le pont d'Alephium exécutait un fork de Wormhole sécurisé par seulement quatre gardiens, bien moins que l'ensemble du mainnet de Wormhole, qui compte 19 gardiens avec un quorum de 13 signatures. La société de sécurité Blockaid a indiqué que l'attaquant avait pris le contrôle de trois des quatre clés de gardien — assez pour signer six VAA falsifiées et appeler completeTransfer sur le proxy du TokenBridge. Ces messages ont ordonné au contrat de libérer des actifs en garde : sur Ethereum environ 200 967 USDT, 17 594 USDC, 5,18 WETH et 0,335 WBTC, plus 36 750 USDT et 24,386 WBNB côté BNB Chain. L'attaquant a également frappé 13,76 millions de wrapped ALPH (wALPH) non adossés directement vers ses propres portefeuilles.

Conséquences

Alephium a interrompu le pont et a averti les fournisseurs de liquidité de retirer leurs fonds jusqu'à nouvel ordre. Le 2 juin 2026, les gardiens restants ont exécuté une récupération autorisée qui a brûlé le wALPH non adossé détenu dans les portefeuilles de l'attaquant en une seule transaction, empêchant sa vente. Les quelque 815 000 dollars d'actifs réels en garde n'ont pas été récupérés ; l'équipe a déclaré étudier des options pour indemniser les utilisateurs touchés.

Pourquoi c'est important

L'incident Alephium est un cas d'école de défaillance du quorum de gardiens : un fork de Wormhole hérite du modèle de confiance de Wormhole mais pas de sa décentralisation, et quatre signataires constituent une cible réduite. Il rappelle le bug originel de vérification de signature de Wormhole et le schéma de messages falsifiés de Nomad Bridge. Comme Gravity Bridge et le pont Syscoin plus tôt en 2026, il montre que la sécurité d'un pont se résume à l'intégrité de la validation des messages hors chaîne : lorsqu'un attaquant peut falsifier les approbations auxquelles un pont fait confiance, le code on-chain remet docilement des actifs réels.

Sources & preuves on-chain

  1. [01]alephium.orghttps://alephium.org/news/post/the-alephium-bridge-exploit-on-chain-report/
  2. [02]thedefiant.iohttps://thedefiant.io/news/hacks/alephium-bridge-815k-forged-guardian-messages
  3. [03]phemex.comhttps://phemex.com/news/article/alephium-tokenbridge-hacked-815000-in-assets-stolen-86934
  4. [04]cryptotimes.iohttps://www.cryptotimes.io/2026/05/30/alephium-bridge-exploited-for-815k-13-76m-unbacked-alph-minted/

Dépôts liés