El puente de tokens de Alephium fue explotado por $815K mientras los hackers acuñan millones de ALPH sin respaldo

Los hackers han drenado aproximadamente $815,000 del Token Bridge de Alephium en Ethereum. Acuñaron 13,76 millones de tokens ALPH envueltos a partir de transacciones falsificadas, lo que llevó al proyecto a advertir a los proveedores de liquidez que retiraran sus fondos de inmediato.

Este exploit se suma al creciente número de ataques a puentes entre cadenas ocurridos en mayo. El puente Verus-Ethereum perdió alrededor de $11,5 millones en un ataque el 18 de mayo, mientras que Cryptopolitan informó anteriormente el 30 de mayo que Gravity Bridge perdió $5,4 millones, el mismo día en que el TokenBridge de Alephium sufrió un exploit.

¿Qué hizo exitoso el ataque?

La firma de seguridad blockchain Blockaid detectó el exploit e informó que el atacante comprometió tres de las cuatro claves de guardianes que protegen el puente. Al obtener el control de una mayoría de firma, el atacante falsificó Aprobaciones de Acción Verificadas (VAAs), los mensajes criptográficos que autorizan las transferencias cross-chain.

Según Blockaid, toda la operación tomó aproximadamente siete minutos. El atacante utilizó las VAAs falsificadas para acuñar 13,76 millones de ALPH envueltos, lo que supuestamente representa más del 100% del suministro envuelto previo del token. Activos adicionales, incluyendo USDT, USDC, WBTC y WETH, fueron desbloqueados del contrato de custodia del puente.

El analista on-chain Specter señaló que el ataque afectó tanto a los contratos del puente de Ethereum como de BNB Chain. Specter declaró que el atacante luego movió los fondos robados de BNB Chain a Ethereum, y una parte ya ha sido depositada en Tornado Cash, según el análisis de Specter publicado en X.

Alephium niega el compromiso de las claves de guardianes 

Sin embargo, Alephium ha proporcionado más actualizaciones disputando la declaración de Blockaid, afirmando: "El exploit NO fue causado por un compromiso de las claves de guardianes, contrariamente a algunos informes externos tempranos." 

Según el protocolo, el exploit fue "causado por una vulnerabilidad off-chain en el backend del puente que podría activarse en casos límite específicos."

Alephium proporcionó un desglose de los fondos drenados en Ethereum y BNB, indicando que 200,967 USDT, 17,594 USDC, 5,18 WETH y 0,335 WBTC fueron tomados de la primera, mientras que 36,750 USDT y 24,386 WBNB fueron tomados de BNB.

Alephium pide a los LPs que retiren su liquidez

Alephium también advirtió a cualquier persona que provea liquidez a los pools de ALPH en Uniswap o PancakeSwap.

En una actualización posterior, la plataforma explicó de manera detallada por qué solicitó a los usuarios retirar su liquidez, afirmando: "Debido a que el puente ha sido cerrado, el atacante no puede canjear ni enviar estos ALPH envueltos de regreso a través del puente de Alephium. Por lo tanto, pedimos a los usuarios que no proporcionen liquidez a los pools de ALPH en Ethereum o BNB Chain, que retiren cualquier liquidez existente y que no realicen intercambios en estos pools", añadiendo que "La liquidez adicional o la actividad de trading aumentaría la capacidad del atacante para obtener valor de los ALPH envueltos no autorizados."

ALPH cotiza actualmente a $0,037 con una capitalización de mercado de más de $5 millones, mientras que el valor total bloqueado (TVL) en los protocolos DeFi de Alephium se situaba en aproximadamente $756,000, y tiene más de $308,000 como TVL en puentes, según datos de DefiLlama.

El equipo de Alephium ha declarado que actualmente se está enfocando en los esfuerzos de recuperación y remediación, y prometió compartir más actualizaciones en la próxima semana.

Un mes brutal para los puentes

El exploit de Alephium se suma a lo que se ha convertido en un período devastador para la infraestructura cross-chain. 

El hackeo de Gravity Bridge, también reportado el mismo día, vio $5,4 millones drenados a través de lo que los analistas on-chain sospechan fue un compromiso de claves de contrato, según el informe de Cryptopolitan.

Unas dos semanas antes, el puente Verus-Ethereum perdió $11,5 millones en un exploit de evasión de verificación, según la base de datos de hackeos de DefiLlama. THORChain también sufrió un ataque coordinado de $10 millones en Bitcoin, Ethereum, BNB Chain y Base el 15 de mayo, según informó Cryptopolitan.

Los puentes entre cadenas han experimentado un aumento de ataques por parte de actores maliciosos recientemente, y han perdido colectivamente más de $326 millones solo en 2026 hasta mediados de mayo. 

Los protocolos de puentes representan $3,2 mil millones de los $16,6 mil millones en valor total hackeado en la historia de las criptomonedas, según DefiLlama, una proporción desproporcionada dado el número relativamente pequeño de protocolos de puentes en comparación con otras categorías DeFi.

La vulnerabilidad persistente de estas plataformas y la creciente frecuencia de ataques desde abril hasta mayo han hecho que el patrón sea difícil de ignorar.

No te limites a leer noticias sobre criptomonedas. Entiéndelas. Suscríbete a nuestro boletín. Es gratis.