Home
Mga Balita
Mga Detalye

Nahuli ang Alephium Cross-Chain Bridge, $815K ang tinatayang nasasakop sa 7 minuto

icon币界网
I-share
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
USDT
----
This is the logo of the coin.
USDC
$1.00090%
This is the logo of the coin.
WBTC
$63,350.26-2.98%
AI summary iconSummary

expand icon
On-chain news: Hinack ng Alephium’s TokenBridge noong Mayo 30, naikuha ang $815K sa loob ng 7 minuto. Ang attacker ay nagsasakop ng 3 sa 4 na guardian keys, nag-forged ng approval messages, at tinanggal ang USDT, USDC, WBTC, at WETH. Higit sa 13.76 milyon na wALPH ay minted nang walang deposit. RWA news: ang insidente ay katulad ng mga nakaraang bridge attack, na ipinapakita ang mga panganib sa key management at multi-sig systems.
Binibigkas ng CoinDesk:

Ang TokenBridge na nag-uugnay sa Ethereum at Alephium ay nasakop noong Mayo 30. Sinabi ng blockchain security company na Blockaid na ang mga attacker ay kumontrol sa 3 sa 4 na guardian keys at ginamit ito upang magpapalit ng forged cross-chain approval messages, na nagresulta sa paglipat ng halos $815,000 sa loob ng 7 minuto.

Ang point ng pag-atake ay sa signature ng guardian

Ang Alephium TokenBridge ay ginagamit upang i-connect ang Ethereum at ang Alephium chain. Kapag nagpapadala ang mga user ng ALPH mula sa Alephium patungo sa Ethereum, ang native asset ay muna nililock sa isang panig, at pagkatapos ay ginagawa ang kaugnay na wrapped asset na wALPH sa panig ng Ethereum.

Ang proseso na ito ay nakasalalay sa mga pirma ng guardian upang patunayan kung ang cross-chain message ay wasto. Ayon sa disenyo ng tulay, kailangan ng hindi bababa sa 3 pirma mula sa 4 na guardian upang matanggap ang mensahe ng paglipat. Sinabi ni Blockaid na ang mga attacker ay nakakuha ng mga private key ng 3 sa mga guardian, kaya sila ay nakakapag-likha ng mga VAA na tila wasto, o mga mensahe ng pagpapahintulot sa cross-chain.

Ipinapalabas ang iba't ibang asset pagkatapos ng pagsasagawa ng fake message

Pagkatapos makamit ang kakayahang mag-sign, ang mga attacker ay hindi lamang nag-forged ng proseso ng pagmimina ng wALPH, kundi nagpapalabas din ng maling pagpapalabas ng mga aset. Ipinakilala ng tulay ang mga forged na mensahe bilang wastong pagtarik, kaya inilabas nito ang iba’t ibang aset na nakatago sa tulay.

  • USDT
  • USDC
  • WBTC
  • WETH

Ipinahayag din ni Blockaid na ang mga attacker ay gumawa ng karagdagang 13.76 milyong wALPH nang walang aktwal na pag-deposito ng ALPH. Ang dami na ito ay hihigit sa kabuuang dami ng naka-encapsulated na supply na nasa paligid, na nangangahulugan na ang mga aset na ito ay walang totoong collateral na sumusuporta dito.

Kapareho ng mga dating pag-atake sa cross-chain bridge

Ang pangyayaring ito ay may pagkakatulad sa nakaraang pag-atake sa Wormhole cross-chain bridge. Parehong naglalaman ng pagpapalit ng cross-chain message at pagbuo ng mga asset na walang sapat na collateral.

Binanggit din ng ulat na ang跨链桥 sa pagitan ng Verus at Ethereum ay dinakip noong recent, na nagresulta sa pagkawala ng halos $11.58 milyon. Ang mga patuloy na insidente sa跨链桥 ay muli'y ipinakita na ang multi-sign verification at key management ay patuloy na mga pangunahing panganib sa mga protokol ng bridge.

Source:Ipakita ang original
Disclaimer: Ang information sa page na ito ay maaaring nakuha mula sa mga third party at hindi necessary na nagre-reflect sa mga pananaw o opinyon ng KuCoin. Ibinigay ang content na ito para sa mga pangkalahatang informational purpose lang, nang walang anumang representation o warranty ng anumang uri, at hindi rin ito dapat ipakahulugan bilang financial o investment advice. Hindi mananagot ang KuCoin para sa anumang error o omission, o para sa anumang outcome na magreresulta mula sa paggamit ng information na ito. Maaaring maging risky ang mga investment sa mga digital asset. Pakisuri nang maigi ang mga risk ng isang produkto at ang risk tolerance mo batay sa iyong sariling kalagayang pinansyal. Para sa higit pang information, mag-refer sa aming Terms ng Paggamit at Disclosure ng Risk.