- Três das quatro chaves de guardiões da ponte Alephium foram comprometidas
- Atacantes cunharam 13,76 milhões de wALPH sem depósito real
- Drenagem incluiu USDT, USDC, WBTC e WETH em sete minutos
A ponte Alephium TokenBridge, que conecta a rede homônima ao ethereum, sofreu um exploit que escoou cerca de US$ 815 mil em apenas sete minutos. A empresa de segurança Blockaid identificou o caso em 30 de maio e reconstituiu o passo a passo do ataque na rede.
Segundo a investigação, três das quatro chaves privadas de guardiões responsáveis por validar transferências entre cadeias foram obtidas pelos invasores. Com elas, o grupo assinou mensagens forjadas as chamadas VAAs (Verified Action Approvals) fazendo a ponte tratar saques inventados como operações legítimas.
O alvo era simples: enganar o mecanismo de verificação que sustenta o tráfego de ativos entre Alephium e Ethereum. E funcionou. A ponte liberou tokens reais a partir de instruções inteiramente fabricadas.
Como a ponte foi enganada
O desenho da TokenBridge segue uma lógica conhecida no setor. Quando um usuário move ALPH para o Ethereum, o token original fica travado na cadeia de origem. Do outro lado, uma versão embrulhada o wALPH é cunhada para circular como ERC-20.
Para autorizar essa cunhagem, três dos quatro guardiões precisam assinar a mensagem confirmando o bloqueio. É exatamente esse quórum que os invasores reproduziram com as chaves comprometidas. A ponte não tinha como distinguir uma assinatura verdadeira de uma falsificada.
Com isso, o grupo cunhou 13,76 milhões de wALPH sem qualquer depósito correspondente — volume superior a 100% do supply embrulhado que existia até então. Em termos práticos, os atacantes criaram, do nada, mais ALPH sintético do que o mercado inteiro tinha.
As mesmas VAAs forjadas também instruíram a ponte a liberar ativos travados em contratos. Os invasores drenaram USDT, USDC, WBTC e WETH, totalizando US$ 815 mil transferidos para endereços sob seu controle. A página oficial da Blockaid detalha a metodologia de monitoramento usada na detecção.
Padrão que se repete em pontes
O ataque entra numa série crescente de incidentes envolvendo bridges multichain. O caso lembra o exploit da Wormhole, em que mensagens falsificadas geraram colateral sem lastro, e segue um ataque recente à ponte Verus-Ethereum, que tirou cerca de US$ 11,58 milhões do protocolo.
Antes dele, a Gravity Bridge perdeu US$ 5,4 milhões por meio do mesmo vetor, chave privada comprometida. O padrão expõe a fragilidade de pontes que dependem de pequenos conjuntos de signatários, modelo conhecido no jargão como multisig federado.
O ponto crítico é estrutural. Em vez de explorar vulnerabilidade de código, o invasor mira o elo humano e operacional vazamento de chave, infraestrutura mal segmentada, ambiente de assinatura sem hardware dedicado. Quando três de quatro chaves caem, o sistema enxerga a fraude como operação válida.
O que muda para o investidor brasileiro
Para o usuário no Brasil, o episódio reforça um ponto raramente discutido nas exchanges locais, ativos embrulhados (wrapped tokens) carregam risco de contraparte da ponte que os emite. Um wALPH, wBTC ou wETH só vale o quanto o mecanismo de custódia conseguir honrar.
Esse risco se soma ao ambiente regulatório local em transformação. O Banco Central exige auditoria independente de prestadores de serviços de ativos virtuais e tende a olhar com mais atenção o uso de pontes em produtos voltados ao varejo brasileiro.
No mercado mais amplo, o ETH opera próximo de US$ 1.992, com queda de 1,9% em 24 horas, enquanto o ecossistema absorve mais um caso de falha em infraestrutura cross-chain. O efeito sobre o preço do ALPH foi imediato após a divulgação, com a emissão inflada minando a confiança no token embrulhado.
A Blockaid não detalhou como os invasores obtiveram as chaves dos guardiões. A equipe da Alephium ainda não publicou plano de compensação aos usuários afetados pelo desbloqueio indevido de stablecoins e wrapped assets.
