TokenBridge de Alephium (ALPH) perdió aproximadamente 815,000 dólares después de que un atacante explotara una falla que permitía que mensajes falsificados pasaran a través de la red de “guardianes” del protocolo y autorizaran transferencias fraudulentas de tokens.
El equipo de Alephium confirmó que la empresa de seguridad blockchain Blockaid fue la primera en detectar el exploit. La unidad de respuesta de emergencia SEAL_911 de Security Alliance también brindó asistencia y reacción durante la investigación posterior.
El exploit drena 815,000 dólares en menos de 7 minutos
El atacante movió fondos desde el TokenBridge de Alephium tanto en Ethereum como en BNB Chain en aproximadamente siete minutos. En Ethereum, las pérdidas incluyeron 200,967 USDT, 17,594 USDC, 5.18 Wrapped Ether (WETH) y 0.335 Wrapped Bitcoin (WBTC).
Además, se retiraron 36,750 USDT y 24.386 Wrapped BNB del lado de BNB Chain del puente. El atacante también acuñó 13,76 millones de wrapped ALPH sin respaldo y los transfirió directamente a su wallet.
Alephium cerró el puente y declaró que está explorando todas las opciones para compensar a los usuarios afectados.
El incidente empeora el panorama para la infraestructura cross-chain en 2026. Las pérdidas por hacks de criptomonedas en abril alcanzaron 606 millones de dólares, y el recuento de hacks DeFi de mayo sigue aumentando a medida que comienza junio.
Un exploit en el puente CrossCurve y un exploit en Hyperbridge, ambos valorados en 2,5 millones de dólares, también contribuyeron al total anual.
Mensajes falsificados, no claves robadas
Los desarrolladores construyeron TokenBridge de Alephium sobre un fork del protocolo Wormhole, el cual depende de una red de guardianes para validar mensajes cross-chain. Un quórum de guardianes debe aprobar cualquier transferencia, por lo que la capacidad de inyectar mensajes fraudulentos es una vulnerabilidad de alto impacto.
Los primeros informes atribuyeron la brecha a claves privadas de guardianes comprometidas, comparando la situación con la comprometida del puente Gravity que costó 5,4 millones de dólares a principios de 2026. Sin embargo, la actualización posterior al incidente de Alephium contradice esa explicación.
«El exploit no parece haber involucrado un compromiso de claves privadas de guardianes. En cambio, parece haber consistido en un exploit que permitió que eventos o mensajes maliciosos falsificados fueran observados y firmados por los guardianes», dice Alephium
Esta diferencia es importante. Un compromiso de claves indica una falla operativa, mientras que un ataque por mensajes falsificados señala una falla en cómo el puente validaba los datos entrantes antes de presentarlos a los guardianes.
Una situación similar ocurrió en el exploit del puente Polkadot, donde el atacante validó fraudulentamente transacciones y acuñó tokens sin respaldo. Alephium anunció que publicará próximamente un análisis técnico completo de su equipo.
El post Mensajes falsos catalizan exploit de TokenBridge de Alephium por $815,000 fue visto por primera vez en BeInCrypto.