Le TokenBridge d’Alephium (ALPH) a été vidé d’environ 815 000 dollars après qu’un attaquant a exploité une faille permettant à des messages falsifiés de passer à travers le réseau de gardiens du protocole et d’autoriser des transferts de jetons frauduleux.
L’équipe d’Alephium a confirmé que la société de sécurité blockchain Blockaid a été la première à détecter le hack. L’unité d’intervention d’urgence SEAL_911 de la Security Alliance a également apporté son aide et assuré la réactivité durant toute l’enquête qui a suivi.
Un hack vide 815 000 dollars en moins de 7 minutes
L’attaquant a déplacé des fonds depuis le TokenBridge d’Alephium sur Ethereum et BNB Chain en à peine sept minutes. Sur Ethereum, les pertes comprennent 200 967 Tether (USDT), 17 594 USD Coin (USDC), 5,18 Wrapped Ether (WETH) et 0,335 Wrapped Bitcoin (WBTC).
36 750 USDT supplémentaires et 24,386 Wrapped BNB ont été prélevés du côté de la BNB Chain du bridge. L’attaquant a également minté 13,76 millions de Wrapped ALPH non adossés, qu’il a transférés directement vers son wallet.
Alephium a fermé le bridge et a indiqué qu’elle explorait toutes les options possibles afin d’indemniser les utilisateurs affectés.
L’incident vient aggraver la situation déjà préoccupante pour les infrastructures cross-chain en 2026. Les pertes liées aux hacks crypto d’avril ont atteint 606 millions de dollars, et le bilan des hacks DeFi en mai continue de s’alourdir à l’approche de juin.
Un hack du bridge CrossCurve et un hack de Hyperbridge, tous deux réévalués à 2,5 millions de dollars, ont également contribué au total annuel.
Messages falsifiés, et non clés dérobées
Les développeurs ont construit le TokenBridge d’Alephium sur un fork du protocole Wormhole, qui repose sur un réseau de gardiens pour valider les messages cross-chain. Un quorum de gardiens doit valider chaque transfert, ce qui fait que la possibilité d’injecter des messages frauduleux constitue une faille critique.
Les rapports initiaux attribuaient la faille à un vol de clés privées de gardiens, faisant le parallèle avec le hack du bridge Gravity suite à un vol de clés qui avait coûté 5,4 millions de dollars plus tôt en 2026. Mais la mise à jour post-incident d’Alephium contredit cette version.
« Le hack ne semble pas impliquer une compromission des clés privées des gardiens. Il semble plutôt s’agir d’une faille ayant permis à des événements/messages falsifiés et malveillants d’être observés et signés par des gardiens », indique Alephium
Cette distinction est importante. Un vol de clé indique une défaillance opérationnelle, tandis qu’une attaque par messages falsifiés révèle une faille dans la manière dont le bridge valide les données entrantes avant de les présenter aux gardiens.
Une dynamique similaire s’est produite lors du hack du bridge Polkadot, où l’attaquant a validé frauduleusement des transactions et minté des tokens non adossés. Alephium indique qu’un rapport technique complet de son équipe sera prochainement publié.
