Por Canuto Un atacante explotó una falla en el TokenBridge de Alephium y drenó cerca de USD $815.000 en activos cripto en unos siete minutos. El equipo afirma que el incidente no habría involucrado claves privadas robadas, sino mensajes falsificados que los guardianes terminaron firmando.
***
- El exploit afectó fondos en Ethereum y BNB Chain, incluyendo USDT, USDC, WETH, WBTC y BNB envuelto.
- Alephium cerró el bridge y dijo que evalúa opciones para compensar plenamente a los usuarios afectados.
- El caso suma presión sobre la infraestructura cross-chain, un segmento golpeado por varios hacks en 2026.
Un ataque rápido contra TokenBridge
El TokenBridge de Alephium sufrió un exploit que permitió a un atacante retirar cerca de USD $815.000 en activos digitales. La operación tomó alrededor de siete minutos y afectó los lados del bridge conectados con Ethereum y BNB Chain.
De acuerdo con Yahoo Finance, la firma de seguridad blockchain Blockaid detectó primero el ataque. La unidad de respuesta de emergencia SEAL_911, perteneciente a Security Alliance, también participó en la investigación y en la respuesta inicial.
El equipo de Alephium confirmó que cerró el bridge después del incidente. También indicó que explora todas las opciones disponibles para compensar plenamente a los usuarios afectados por la brecha.
Los bridges cumplen una función clave en el ecosistema cripto. Permiten mover valor entre distintas redes, pero también concentran riesgos técnicos porque deben validar información que nace fuera de la cadena donde se ejecuta la transferencia.
En este caso, el ataque no dependió de una simple transacción aislada. El punto crítico estuvo en la forma en que el sistema aceptó mensajes cross-chain que, según Alephium, resultaron maliciosos y falsificados.
Qué fondos salieron del bridge
El atacante drenó activos desde el lado de Ethereum del TokenBridge. Las pérdidas incluyeron USDT 200.967, USDC 17.594, WETH 5,18 y WBTC 0,335.
El movimiento también alcanzó el lado de BNB Chain. Desde allí salieron otros USDT 36.750 y BNB envuelto 24,386, según los datos atribuidos al reporte inicial.
Además de retirar los activos respaldados en los contratos del bridge, el atacante acuñó ALPH 13,76 millones envueltos sin respaldo. Luego transfirió esos tokens directamente a su wallet.
La acuñación de tokens sin respaldo representa uno de los riesgos más graves en un bridge. Si el sistema acepta un mensaje fraudulento como válido, puede crear representaciones de activos que no corresponden a depósitos reales en la cadena de origen.
El incidente agrava un año complejo para la seguridad DeFi. Las pérdidas por hacks cripto en abril alcanzaron USD $606 millones, mientras que el conteo de exploits DeFi de mayo siguió aumentando de cara a junio.
Otros ataques recientes también presionaron al sector cross-chain. Un exploit del bridge CrossCurve y otro de Hyperbridge, ambos revisados a USD $2,5 millones, se sumaron al total de incidentes registrados durante 2026.
El papel de los guardianes y los mensajes falsificados
Los desarrolladores construyeron el TokenBridge de Alephium sobre un fork del protocolo Wormhole. Este tipo de arquitectura usa una red de guardianes para validar mensajes entre cadenas.
En términos simples, los guardianes actúan como observadores y firmantes. Un quórum debe aprobar una transferencia antes de que el bridge complete el movimiento de activos en la cadena de destino.
Ese diseño busca impedir que una sola entidad autorice operaciones fraudulentas. Sin embargo, si el sistema presenta mensajes falsos a los guardianes como si fueran eventos legítimos, el quórum puede terminar firmando datos maliciosos.
Los reportes iniciales atribuyeron la brecha a un compromiso de claves privadas de guardianes. Esa hipótesis generó comparaciones con el incidente de Gravity Bridge, que provocó pérdidas por USD $5,4 millones a principios de 2026.
La actualización posterior de Alephium cambió el foco del análisis. El equipo sostuvo que no encontró señales claras de un robo de claves privadas de los guardianes.
“El exploit no parece haber implicado un compromiso de las claves privadas de los guardianes. En cambio, parece haber implicado un exploit que permitió que eventos/mensajes maliciosos falsificados fueran observados y firmados por los guardianes“, dijo Alephium.
Por qué importa la diferencia técnica
La diferencia entre claves robadas y mensajes falsificados no es menor. Una filtración de claves apunta a fallas operativas, custodia deficiente o protección insuficiente de los firmantes.
Un ataque basado en mensajes falsificados señala otro problema. Indica que el bridge no filtró o validó correctamente los datos antes de llevarlos al proceso de firma de los guardianes.
En ese escenario, los guardianes pueden comportarse como se espera desde el punto de vista criptográfico. Aun así, firman información dañina porque el sistema les muestra eventos manipulados como si fueran válidos.
Esta clase de vulnerabilidad resulta especialmente peligrosa para los protocolos cross-chain. Los bridges deben coordinar estados entre redes distintas y dependen de reglas estrictas para decidir qué evento merece confianza.
Una dinámica similar apareció en el exploit del bridge de Polkadot mencionado en el reporte. Allí, el atacante validó transacciones de forma fraudulenta y acuñó tokens sin respaldo.
Alephium dijo que publicará próximamente un informe técnico post mortem completo elaborado por su equipo. Ese documento debería aclarar el flujo exacto del exploit y las medidas que el proyecto tomará para evitar incidentes similares.
Otro golpe para la confianza en los bridges
El ataque contra Alephium llega en un momento sensible para DeFi. Los bridges siguen siendo infraestructura esencial para usuarios, aplicaciones y liquidez multichain, pero también figuran entre los blancos más atractivos para atacantes sofisticados.
La razón es directa. Un bridge concentra activos de varias redes y mantiene contratos que desbloquean, acuñan o liberan valor con base en mensajes externos.
Cuando ese flujo falla, el daño puede propagarse rápido. En el caso de Alephium, el atacante necesitó menos de diez minutos para retirar varios activos y crear una gran cantidad de ALPH envuelto sin respaldo.
El cierre del TokenBridge reduce el riesgo inmediato, aunque también limita la movilidad de usuarios legítimos mientras continúa la investigación. Alephium no detalló aún el mecanismo concreto de compensación, pero afirmó que evalúa alternativas para cubrir plenamente a los afectados.
Para los usuarios, el caso refuerza una lección conocida. La interoperabilidad agrega conveniencia, pero también introduce capas adicionales de riesgo que dependen de validadores, guardianes, contratos y controles de mensajería.
La publicación del post mortem será clave para entender si el problema nació en el fork de Wormhole, en la implementación específica de Alephium o en una combinación de validaciones insuficientes. Hasta entonces, el incidente queda como otra advertencia para los proyectos que conectan cadenas y custodian liquidez entre ecosistemas.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
