Le bridge de tokens Alephium exploité pour 815 000 $ alors que des hackers minent des millions d'ALPH sans réserve

Des hackers ont siphonné environ 815 000 $ du Token Bridge d'Alephium sur Ethereum. Ils ont frappé 13,76 millions de tokens ALPH encapsulés à partir de transactions falsifiées, ce qui a incité le projet à avertir les fournisseurs de liquidité de retirer leurs fonds immédiatement.

Cet exploit s'ajoute au nombre croissant d'attaques de bridge survenues en mai. Le bridge Verus-Ethereum a perdu environ 11,5 millions $ lors d'une attaque le 18 mai, tandis que Cryptopolitan avait rapporté plus tôt le 30 mai que Gravity Bridge avait perdu 5,4 millions $, le même jour où le TokenBridge d'Alephium a subi un exploit.

Qu'est-ce qui a rendu l'attaque possible ?

La société de sécurité Blockchain Blockaid a détecté l'exploit et a rapporté que l'attaquant avait compromis trois des quatre clés de gardien protégeant le bridge. En prenant le contrôle d'une majorité de signatures, l'attaquant a forgé des Verified Action Approvals (VAAs), les messages cryptographiques autorisant les transferts cross-chain.

Selon Blockaid, l'ensemble de l'opération a pris environ sept minutes. L'attaquant a utilisé les VAAs falsifiés pour frapper 13,76 millions de ALPH encapsulés, ce qui représenterait plus de 100 % de l'offre encapsulée précédente du token. Des actifs supplémentaires, notamment USDT, USDC, WBTC et WETH, ont été déverrouillés depuis le contrat de garde du bridge.

L'analyste on-chain Specter a signalé que l'attaque a touché à la fois les contrats du bridge Ethereum et BNB Chain. Specter a indiqué que l'attaquant a ensuite déplacé les fonds volés de BNB Chain vers Ethereum, et qu'une partie a déjà été déposée dans Tornado Cash, selon l'analyse de Specter publiée sur X.

Alephium nie la compromission des clés de gardien 

Cependant, Alephium a fourni de nouvelles mises à jour contestant la déclaration de Blockaid, affirmant : « L'exploit n'a PAS été causé par une compromission des clés de gardien, contrairement à certains premiers rapports externes. » 

Selon le protocole, l'exploit a été « causé par une vulnérabilité offchain dans le backend du bridge qui pouvait être déclenchée dans des cas limites spécifiques ».

Alephium a détaillé les fonds siphonnés sur Ethereum et BNB, indiquant que 200 967 USDT, 17 594 USDC, 5,18 WETH et 0,335 WBTC ont été prélevés du premier, tandis que 36 750 USDT et 24,386 WBNB ont été prélevés de BNB.

Alephium demande aux LPs de retirer leurs fonds

Alephium a également averti toute personne fournissant de la liquidité aux pools ALPH sur Uniswap ou PancakeSwap.

Dans une mise à jour de suivi, la plateforme a donné une raison détaillée pour laquelle elle a demandé aux utilisateurs de retirer leur liquidité, déclarant : « Étant donné que le bridge a été fermé, l'attaquant ne peut pas racheter ou bridge ces ALPH encapsulés via le bridge Alephium. Nous demandons donc aux utilisateurs de ne pas fournir de liquidité aux pools ALPH sur Ethereum ou BNB Chain, de retirer toute liquidité existante, et de ne pas effectuer d'échanges contre ces pools », ajoutant que « Des liquidités supplémentaires ou une activité de trading augmenteraient la capacité de l'attaquant à réaliser de la valeur à partir des ALPH encapsulés non autorisés. »

ALPH se négocie actuellement à 0,037 $ avec une capitalisation boursière de plus de 5 millions $, tandis que la valeur totale verrouillée (TVL) dans les protocoles DeFi d'Alephium s'élève à environ 756 000 $, avec plus de 308 000 $ en TVL bridgée, selon les données de DefiLlama.

L'équipe Alephium a déclaré qu'elle se concentre actuellement sur les efforts de récupération et de remédiation, et a promis de partager de nouvelles mises à jour dans la semaine à venir.

Un mois brutal pour les bridges

L'exploit Alephium s'ajoute à ce qui est devenu une période difficile pour l'infrastructure cross-chain. 

Le hack de Gravity Bridge, également signalé le même jour, a vu 5,4 millions $ siphonnés dans ce que les analystes on-chain soupçonnent être une compromission de clé de contrat, selon le reportage de Cryptopolitan.

Environ deux semaines plus tôt, le bridge Verus-Ethereum avait perdu 11,5 millions $ lors d'un exploit de contournement de vérification, selon la base de données des hacks de DefiLlama. THORChain a également subi une attaque coordonnée de 10 millions $ sur Bitcoin, Ethereum, BNB Chain et Base le 15 mai, comme rapporté par Cryptopolitan.

Les bridges cross-chain ont connu une recrudescence d'attaques de la part d'acteurs malveillants récemment, et ils ont collectivement perdu plus de 326 millions $ en 2026 rien qu'à la mi-mai. 

Les protocoles de bridge représentent 3,2 milliards $ des 16,6 milliards $ de valeur totale piratée dans l'histoire de la crypto, selon DefiLlama, une part disproportionnée compte tenu du nombre relativement faible de protocoles de bridge par rapport aux autres catégories DeFi.

La vulnérabilité persistante de ces plateformes et la fréquence croissante des attaques d'avril à mai ont rendu le phénomène difficile à ignorer.

Ne faites pas que lire les actualités crypto. Comprenez-les. Abonnez-vous à notre newsletter. C'est gratuit.