Alephium потеряла $815K из-за поддельных сообщений, а не взлома ключей

Атака на Wormhole-форк за 7 минут вскрыла структурную уязвимость off-chain бэкендов и малых валидаторных наборов

Что произошло

Семь минут до нуля: хронология атаки

В пятницу мост Alephium TokenBridge — приватный форк протокола Wormhole, работающий на Ethereum и BNB Chain — был опустошён за семь минут. Первым атаку зафиксировал блокчейн-аудитор Blockaid, который немедленно привлёк экстренное подразделение SEAL 911. К тому моменту, когда команда Alephium отключила мост, злоумышленник уже вывел активы на двух сетях.

На Ethereum атакующий забрал:

• 200 967 USDT
• 17 594 USDC
• 5,18 WETH
• 0,335 WBTC

На BNB Chain:

• 36 750 USDT
• 24,386 WBNB

Помимо прямого вывода, злоумышленник заминтил 13,76 млн wrapped ALPH на Ethereum — без соответствующей блокировки ALPH на исходной цепи Alephium. Эти токены по-прежнему находятся в кошельке эксплойтера и представляют собой необеспеченные активы, которые атакующий может попытаться конвертировать через пулы Uniswap и PancakeSwap.

Для сравнения: $815K — скромная сумма на фоне общей статистики. По данным PeckShield, совокупные потери на кросс-чейн мостах к середине мая 2026 года составили около $329 млн. Но размер ущерба здесь — не главное.

Что сломалось на самом деле: анатомия уязвимости

Первоначальные сообщения, в том числе от Blockaid, указывали на компрометацию приватных ключей опекунов (guardian keys). Это важное разграничение: кража ключей — это провал операционной безопасности, человеческий фактор, проблема хранения подписывающих устройств.

Реальность оказалась иной и технически интереснее.

В уточнённом заявлении Blockaid написал: эксплойт «не связан с компрометацией приватных ключей опекунов. Вместо этого он позволил поддельным вредоносным событиям и сообщениям наблюдаться и подписываться опекунами». Alephium подтвердила: причина — «off-chain уязвимость в бэкенде моста, которая могла быть активирована в специфических граничных случаях». Ни смарт-контрактного бага, ни утечки ключей не было.

Проще говоря: опекуны подписали валидными подписями невалидные данные.

Между on-chain контрактами и опекунами стоит off-chain слой — именно он сообщает валидаторам, что именно нужно подписать. Злоумышленник нашёл способ внедрить в этот слой поддельные события так, чтобы они выглядели легитимно. Опекуны не были скомпрометированы — они честно сделали свою работу, не зная, что входные данные сфабрикованы.

Четыре против девятнадцати: почему размер валидаторного набора решает всё

Здесь математика неумолима.

Alephium использует форк Wormhole с четырьмя опекунами и кворумом три из четырёх. Основная сеть Wormhole работает с 19 опекунами и кворумом 13 подписей.

Если off-chain бэкенд скомпрометирован и отправляет поддельное сообщение всем опекунам одновременно — в сети Wormhole атакующему нужно убедить 13 независимых узлов. Каждый из них — потенциальная точка обнаружения аномалии. В системе Alephium та же атака требует согласия лишь трёх из четырёх опекунов.

Шесть подписанных подтверждений оказалось достаточно, чтобы полностью опустошить мост.

Это не просто вопрос «больше — лучше». Меньший валидаторный набор означает меньше независимых проверок аномального поведения, меньше шансов на то, что хотя бы один опекун заподозрит неладное и откажется подписывать. При прочих равных — чем меньше набор, тем уже «поверхность обнаружения» атаки.

Мост стоит, токены не обеспечены: что сейчас

Alephium уже отключила мост — новые транзакции невозможны. Команда сообщила, что ALPH, заблокированный внутри самого моста, не был похищен и подлежит восстановлению.

Главная текущая угроза: 13,76 млн необеспеченных wrapped ALPH в кошельке атакующего. Если кто-то будет торговать в пулах Uniswap или PancakeSwap, злоумышленник получит возможность конвертировать эти токены в реальную стоимость. Команда призвала держателей ALPH на Ethereum и BNB Chain немедленно вывести ликвидность из обоих пулов.

Детали плана компенсации, полный технический постмортем и процедура восстановления средств для пользователей с заблокированными ALPH будут анонсированы на следующей неделе.

Паттерн 2026 года: мосты остаются главной целью

Атака на Alephium — не изолированный инцидент. 2026 год стал насыщенным для эксплойтов кросс-чейн инфраструктуры:

• 18 мая — Verus-Ethereum bridge потерял $11,5 млн из-за уязвимости валидации бэкинга. Тот же класс бага: поддельные сообщения проходят проверку, которую должны были провалить.
• 30 мая — Gravity Bridge лишился $5,4 млн в предположительной атаке на ключи подписи.
• Ранее в году CrossCurve и Hyperbridge также пострадали от атак с использованием сфабрикованных сообщений и уязвимостей верификатора.

Механизмы разные, архитектурная слабость одна: промежуточный слой между on-chain логикой и валидаторами остаётся наиболее уязвимым звеном.