Perte de 815K$ par le pont Alephium : des messages frauduleux derrière l'incident
Alephium, une plateforme de blockchain de type proof-of-work, a récemment fait l'objet d'un événement malheureux lorsque son pont, basé sur Wormhole, a été drainé de près de 815 000$ en un temps record. Ce vol a été rendu possible grâce à une vulnérabilité dans le système backend, permettant à des messages trompeurs de passer à travers le réseau de gardiens en place et d'être traités comme des transactions valides.
Dans un correctif public, l'équipe d'Alephium a précisé que l'attaque n'impliquait pas le vol de clés privées, mais plutôt la circulation de messages frauduleux qui ont été interprétés comme authentiques par le réseau de gardiens. Les informations divulguées donnent un aperçu inquiétant des problèmes de sécurité associés aux ponts inter-chaînes.
Qu'est-ce qui s'est réellement passé ?
Le 6 octobre, Alephium a rapporté qu'un attaquant a réussi à faire passer des messages contrefaits à travers le backend du pont, parvenant ainsi à drainer des fonds sur Ethereum et la chaîne BNB en seulement sept minutes. Ce temps d'exécution fulgurant a été signalé par Blockaid, une société de sécurité blockchain qui a été la première à détecter l'attaque.
Les pertes spécifiques incluent 200 967 USDT, 17 594 USDC, 5,18 WETH, 0,335 WBTC sur Ethereum, ainsi que 36 750 USDT et 24,386 WBNB sur la chaîne BNB. En somme, l'attaquant a pu également créer 13,76 millions de wrapped ALPH sur Ethereum sans qu'il y ait de fonds correspondants verrouillés sur la chaîne Alephium.
L’ampleur du vol soulève des questions sur la sécurité des ponts inter-chaînes, surtout en 2026, où les pertes cumulées issues d'incidents similaires s'élèvent à environ 329 millions de dollars jusqu'à mi-mai, selon des données de PeckShield.
Le système des gardiens en question
Alephium utilise un modèle basé sur quatre gardiens, avec un quorum de trois pour valider les transactions. En comparaison, le pont Wormhole original fonctionne avec 19 gardiens et nécessite un quorum de 13 signatures pour valider une transaction. Cette différence est cruciale, car un bogue dans la chaîne de commande peut avoir des conséquences plus graves dans un environnement où le nombre de gardiens est limité.
En effet, dans le cas d'Alephium, l'exploitation de la vulnérabilité a permis à l'attaquant de convaincre trois des quatre gardiens de signer des transactions frauduleuses. Cette similitude est alarmante, surtout dans un environnement de DeFi (finance décentralisée) où la sécurité est primordiale.
Les implications pour l’écosystème DeFi
La sécurité des ponts inter-chaînes devient une préoccupation majeure, comme l'illustre ce vol. De nombreux autres ponts ont souffert de failles similaires cette année. Par exemple, le pont Verus-Ethereum a perdu 11,5 millions de dollars à cause d'une vulnérabilité liée à la validation des signatures, tandis que le Gravity Bridge a été drainé de 5,4 millions de dollars en raison d'une présomption de compromis des clés de signature.
Les exploitations, bien que variées, montrent toutes une tendance à la fragilité des architectures des ponts inter-chaînes. Cette vulnérabilité dans le système de gardien peut également inciter d'autres projets à réévaluer leur sécurité et leurs protocoles de validation.
Alephium a fermé temporairement son pont et a averti les détenteurs d'ALPH sur Ethereum et BNB de retirer immédiatement leurs liquidités de pools Uniswap et PancakeSwap. Les fonds toujours présents dans le pont Alephium seraient récupérables, mais la situation requiert une attention immédiate pour éviter que l'attaquant ne puisse convertir les wrapped ALPH non couverts en valeur réelle.
Mesures de récupérations et perspectives d’avenir
Alephium prévoit d'offrir des informations sur le processus de récupération pour les utilisateurs dont les fonds ont été bloqués dans le pont. Une mise à jour technique détaillée, ainsi qu'un plan de compensation, devraient être annoncés bientôt.
Il est essentiel pour l'écosystème crypto de tirer des leçons de cet incident afin d'améliorer la sécurité des systèmes existants. Les ponts inter-chaînes devraient renforcer leurs mécanismes de sécurité pour éviter que de futurs incidents se produisent.
Les événements récents renforcent l'idée que même les projets bien établis peuvent être vulnérables aux attaques. Les utilisateurs doivent rester prudents et faire preuve de diligence dans la gestion de leurs fonds sur les plateformes DeFi.
