El viernes 30 de mayo de 2026, el puente TokenBridge de Alephium fue víctima de un exploit que vació aproximadamente 815.000 dólares de sus contratos en Ethereum y BNB Chain. El atacante, en apenas siete minutos, se llevó fondos en stablecoins, ether y bitcoin envuelto, además de acuñar sin respaldo 13,76 millones de tokens ALPH envueltos. La empresa de seguridad Blockaid fue la primera en detectar el ataque, y la unidad de emergencia SEAL_911 de Security Alliance también colaboró en la respuesta.
Las pérdidas incluyeron 200.967 USDT, 17.594 USDC, 5,18 Wrapped Ether y 0,335 Wrapped Bitcoin desde Ethereum. Por el lado de BNB Chain, el atacante retiró otros 36.750 USDT y 24,386 Wrapped BNB. Todo ocurrió de forma automatizada: las transacciones fraudulentas fueron autorizadas por la propia red de guardianes del puente sin que mediara ninguna clave privada comprometida.
Así se produjo el exploit
El TokenBridge de Alephium está construido sobre un fork del protocolo Wormhole, que utiliza un modelo de ‘guardianes’ para validar los mensajes entre cadenas. Cuando un usuario quiere mover tokens de una blockchain a otra, un quórum de estos guardianes debe comprobar y firmar el mensaje. En este caso, el atacante inyectó eventos o mensajes maliciosos que los guardianes interpretaron como legítimos y los firmaron, permitiendo transferencias de fondos hacia la wallet del atacante.
Las direcciones destino se beneficiaron de distintos activos en pocos bloques. En la red Ethereum, el robo abarcó las cantidades ya mencionadas de USDT, USDC y tokens envueltos. En BNB Chain, los montones fueron ligeramente menores, pero igual de rápidos. El ataque demostró que la validación de los mensajes entrantes era insuficiente: los guardianes no realizaban una comprobación completa de la legitimidad de los eventos antes de firmarlos.
El atacante también acuñó 13,76 millones de tokens ALPH envueltos sin respaldo alguno y los transfirió directamente a su cartera. Esta acción no supuso una pérdida directa para el colateral del puente, pero sí creó moneda falsa que, de comercializarse, habría diluido el valor del ALPH legítimo. Afortunadamente, el puente fue desconectado a tiempo para evitar un daño mayor.
La capacidad de inyectar mensajes falsos no es un simple robo de llaves; es una falla estructural que pone en duda cómo los puentes validan la realidad on-chain.
Fallo de validación, no de claves privadas
Los primeros reportes apuntaban a un posible compromiso de las claves privadas de los guardianes, similar al exploit del puente Gravity que costó 5,4 millones de dólares a principios de 2026. Sin embargo, la actualización oficial de Alephium descartó esa hipótesis: ‘El exploit no parece haber involucrado un compromiso de claves privadas de guardianes. En cambio, parece haber consistido en un exploit que permitió que eventos o mensajes maliciosos falsificados fueran observados y firmados por los guardianes’.
La diferencia es relevante. Un robo de claves indica un fallo operativo (alguien no protegió bien sus llaves), mientras que un ataque por mensajes falsificados señala un defecto en la lógica de validación del software, un error de diseño mucho más difícil de parchear. El vector recuerda al exploit del puente de Polkadot, donde el atacante también validó transacciones fraudulentas sin tener que robar las claves.
Alephium ha desactivado el puente y está explorando “todas las opciones” para compensar a los usuarios afectados. El equipo anunció que publicará próximamente un análisis técnico completo, lo que podría arrojar luz sobre si la vulnerabilidad afecta también a otros puentes basados en Wormhole. El incidente, aun con una pérdida moderada, plantea una pregunta incómoda: ¿están los puentes cross-chain suficientemente protegidos contra este tipo de ataques de lógica?
Un año 2026 plagado de exploits en puentes cross-chain
El golpe a Alephium llega en el peor momento para la confianza en los puentes. Solo en abril de 2026, los hacks de criptodivisas alcanzaron los 606 millones de dólares, una cifra que ya supera los registros de años anteriores. Dos exploits de puentes en mayo —CrossCurve e Hyperbridge, ambos valorados en 2,5 millones cada uno— contribuyeron a un total anual de cientos de millones. La capacidad de mover activos entre blockchains sigue siendo una herramienta imprescindible para DeFi, pero también una de las superficies de ataque más expuestas.
Desde el auge de DeFi a partir de 2020, los puentes han estado en el punto de mira. El ataque al puente Poly Network en 2021 (610 millones de dólares) o el del puente de Ronin (622 millones) dejaron claro que un pequeño fallo puede convertirse en una catástrofe. Sin embargo, en 2026 la tecnología ha madurado y los atacantes también: ya no siempre roban claves, sino que exploran debilidades sutiles en la forma en que los mensajes cross-chain se verifican.
Lo ocurrido en Alephium es un aviso. La confianza de los inversores minoristas en los puentes se sustenta en que el código protege sus fondos, no en que los guardianes estén atentos. Cada exploit que logra sortear la validación automática, sin necesidad de robar credenciales, demuestra que aún queda camino por recorrer. El fallo, aunque se solucione, siembra dudas sobre si otros puentes que heredan el mismo código —como los basados en Wormhole— comparten una vulnerabilidad latente.
De momento, Alephium ha reaccionado con rapidez y transparencia, y el importe robado no pone en riesgo la solvencia del proyecto. Pero la historia de los puentes enseña que la confianza cuesta años construirla y segundos perderla. La pregunta para los usuarios de cualquier puente no es si su código tiene un bug, sino si el próximo atacante lo encuentra antes que los auditores.
