Alephium avverte di ritirare la liquidità fino a nuovo avviso a seguito di un attacco hacker che ha sottratto 815.000 dollari

Alcuni hacker hanno sottratto circa 815.000 dollari dal Token Bridge di Alephium su Ethereum. Hanno creato 13,76 milioni di token ALPH "wrapped" tramite transazioni falsificate, spingendo il progetto ad avvertire i fornitori di liquidità di ritirare immediatamente i propri fondi.

Questo exploit si aggiunge al crescente numero di attacchi ai bridge che si sono verificati a maggio. Il bridge Verus-Ethereum ha perso circa 11,5 milioni di dollari in un attacco il 18 maggio, mentre Cryptopolitan ha riportato in precedenza, il 30 maggio, che Gravity Bridge ha perso 5,4 milioni di dollari, lo stesso giorno in cui TokenBridge di Alephium ha subito un exploit.

Cosa ha reso l'attacco efficace?

L'azienda di sicurezza blockchain Blockaid ha individuato la vulnerabilità e ha segnalato che l'attaccante ha compromesso tre delle quattro chiavi di protezione del bridge. Dopo aver ottenuto il controllo della maggioranza dei firmatari, l'attaccante ha falsificato le Verified Action Approvals (VAA), i messaggi crittografici che autorizzano i trasferimenti tra blockchain.

Secondo Blockaid, l'intera operazione è durata circa sette minuti. L'attaccante ha utilizzato i VAA falsificati per coniare 13,76 milioni di ALPH "wrapped", una quantità che, a quanto pare, supera il 100% della precedente fornitura di token "wrapped". Ulteriori asset, tra cui USDT, USDC, WBTC e WETH, sono stati sbloccati daltracdi custodia del bridge.

L'analista on-chain Specter ha segnalato che l'attacco ha colpito sia il bridgetracEthereum che quello BNB Chain. Specter ha affermato che l'attaccante ha poi trasferito i fondi rubati da BNB Chain a Ethereume che una parte è già stata depositata in Tornado Cash, secondo l'analisi di Specter pubblicata su X.

Alephium nega la compromissione della chiave del guardiano 

Tuttavia, Alephium ha fornito ulteriori aggiornamenti contestando quanto affermato da Blockaid, dichiarando: "L'exploit NON è stato causato da una compromissione delle chiavi di protezione, contrariamente ad alcune prime segnalazioni esterne" 

Secondo il protocollo, l'exploit è stato "causato da una vulnerabilità off-chain nel backend del bridge che poteva essere attivata in specifici casi limite"

Alephium ha fornito una ripartizione dei fondi prelevati tra Ethereum e BNB, affermando che 200.967 USDT, 17.594 USDC, 5,18 WETH e 0,335 WBTC sono stati prelevati dal primo, mentre 36.750 USDT e 24,386BNB sono stati prelevati da BNB.

Alephium intima agli LP di ritirarsi

Alephium ha inoltre avvertito chiunque fornisca liquidità ai pool ALPH su Uniswap ocakeSwap.

In un successivo aggiornamento, la piattaforma ha fornito una spiegazione esaustiva del motivo per cui ha chiesto agli utenti di ritirare la liquidità, affermando: "Poiché il bridge è stato chiuso, l'attaccante non può riscattare o trasferire questi ALPH incapsulati attraverso il bridge Alephium. Pertanto, chiediamo agli utenti di non fornire liquidità ai pool ALPH su Ethereum o BNB Chain, di ritirare qualsiasi liquidità esistente e di non effettuare scambi con questi pool", aggiungendo che "Un'ulteriore liquidità o attività di trading aumenterebbe la capacità dell'attaccante di ricavare valore dagli ALPH incapsulati non autorizzati".

ALPH è attualmente scambiato a $0,037 con una capitalizzazione di mercato di oltre $5 milioni, mentre il valore totale bloccato (TVL) sui DeFi si attesta a circa $756.000, di cui oltre $308.000 come TVL in bridging, secondo DefiLlama.

Il team di Alephium ha dichiarato di essere attualmente concentrato sulle attività di recupero e ripristino e ha promesso di condividere ulteriori aggiornamenti la prossima settimana.

Un mese terribile per i ponti

La vulnerabilità di Alephium si aggiunge a quello che è diventato un periodo difficile per le infrastrutture cross-chain. 

L' attacco hacker a Gravity Bridge, segnalato anch'esso lo stesso giorno, ha visto la sottrazione di 5,4 milioni di dollari attraverso quello che gli analisti on-chain sospettano essere unatrac, secondo Cryptopolitan.

Circa due settimane prima, il bridge Verus-Ethereum aveva perso 11,5 milioni di dollari a causa di una vulnerabilità che aggirava il sistema di verifica, secondo DefiLlama. Anche THORChain ha subito un attacco coordinato da 10 milioni di dollari che ha coinvolto Bitcoin, Ethereum, BNB Chain e Base il 15 maggio, come riportato da Cryptopolitan.

Di recente, i bridge cross-chain hanno subito un aumento degli attacchi da parte di malintenzionati, e a metà maggio del 2026 hanno registrato perdite complessive superiori a 326 milioni di dollari. 

Secondo DefiLlama, i protocolli bridge rappresentano 3,2 miliardi di dollari dei 16,6 miliardi di dollari di valore totale violato nella storia delle criptovalute, una quota sproporzionata considerando il numero relativamente ridotto di protocolli bridge rispetto ad altre categorie DeFi .

La persistente vulnerabilità di queste piattaforme e la crescente frequenza degli attacchi tra aprile e maggio hanno reso questo schema difficile da ignorare.