Ibinawas ng isang manlulupig ang TokenBridge ng Alephium (ALPH) ng halos $815,000 pagkatapos gamitin ang isang kamalian na nagbigay-daan sa mga pinagmaliwanag na mensahe na lumampas sa network ng tagapagbantay ng protokolo at mag-awtorisa ng masamang pag-transfer ng token.
Kumpirmado ng koponan ng Alephium na ang blockchain security firm na Blockaid ang unang nakakita ng exploit. Ang SEAL_911 emergency response unit ng Security Alliance ay nagbigay din ng tulong at mabilis na tugon sa buong susunod na imbestigasyon.
Ang exploit ay nagbawas ng $815,000 sa ilalim ng 7 minuto
Lumipat ang attacker ng mga pondo mula sa Alephium TokenBridge sa parehong Ethereum at BNB Chain sa loob ng mahigit sa pitong minuto. Sa Ethereum, kasama sa mga pagkawala ang 200,967 Tether (USDT), 17,594 USD Coin (USDC), 5.18 Wrapped Ether (WETH), at 0.335 Wrapped Bitcoin (WBTC).
Natanggal ang karagdagang 36,750 USDT at 24.386 Wrapped BNB mula sa BNB Chain side ng bridge. Ang attacker ay nag-mint din ng 13.76 milyong hindi suportadong wrapped ALPH at isinapindot ito diretso sa kanilang wallet.
Ipinagpapatuloy ng Alephium ang pag-iiwan ng tulay at sinabi na itinataya nito ang lahat ng opsyon upang gawing buo ang mga napepektuhang gumagamit.
Ang insidente ay nagdaragdag sa mas masamang larawan para sa cross-chain infrastructure noong 2026. Ang mga pagkakasira sa crypto noong Abril ay umabot sa $606 milyon, at ang total na pagkakasira sa DeFi noong Mayo ay patuloy na tumataas habang papalapit sa Hunyo.
Ang CrossCurve bridge exploit at a Hyperbridge exploit, both revised to $2.5 million, ay nagkontribyu din sa kabuuang halaga ng taon.
Mga Naka-hugis na Mensahe, Hindi Nakuha ang mga Susi
Nilikha ng mga developer ang Alephium TokenBridge sa isang fork ng Wormhole protocol, na nagtataguyod ng isang guardian network upang patotohanan ang mga cross-chain message. Kailangan ng quorum ng mga guardian na mag-approve sa anumang pag-transfer, na ginagawa ang kakayahan na mag-inject ng masasamang mensahe bilang isang mataas na epekto na vulnerability.
Ang mga unang ulat ay nagtatala sa paglabas ng mga compromised guardian private keys, na nagdulot ng paghahambing sa Gravity Bridge key compromise na nagkost ng $5.4 milyon noong una sa 2026. Ang post-incident update ni Alephium ay lumalaban sa ganitong pananaw.
Hindi tila nauugnay ang pagpapalabas sa pagkakasira ng mga pribadong key ng guardian. Sa halip, tila nauugnay ito sa isang pagpapalabas na nagbigay-daan sa pagpapalit ng masasamang event/message na makikita at sinasagutan ng mga guardian,” ayon kay Alephium
Mahalaga ang pagkakaiba. Isang pangunahing punto ng kompromiso na nagdudulot ng pagkabigo sa operasyon, habang ang isang forged-message attack ay nagpapakita ng isang kakulangan sa paraan kung paano pinatotohanan ng tulay ang mga dumating na data bago ito ipakita sa mga tagapag-ingat.
Isang katulad na dinamika ang nangyari sa Polkadot bridge exploit, kung saan ang attacker ay fraudulently na nag-validate ng mga transaksyon at nag-mint ng mga token na walang suporta. Sabi ng Alephium, isang buong teknikal na postmortem mula sa kanilang team ay darating.