TokenBridge Alephium (ALPH) dikosongkan sekitar $815.000 setelah penyerang memanfaatkan kelemahan yang memungkinkan pesan palsu melewati jaringan penjaga protokol dan mengotorisasi transfer token penipuan.
Tim Alephium mengonfirmasi bahwa perusahaan keamanan blockchain Blockaid adalah yang pertama mendeteksi eksploitasi tersebut. Unit respons darurat SEAL_911 dari Security Alliance juga memberikan bantuan dan responsivitas selama investigasi selanjutnya.
Eksploitasi Menguras $815.000 dalam Kurang dari 7 Menit
Penyerang memindahkan dana dari Alephium TokenBridge di kedua Ethereum dan BNB Chain dalam waktu sekitar tujuh menit. Di Ethereum, kerugian mencakup 200.967 Tether (USDT), 17.594 USD Coin (USDC), 5,18 Wrapped Ether (WETH), dan 0,335 Wrapped Bitcoin (WBTC).
Sebanyak 36.750 USDT tambahan dan 24,386 Wrapped BNB dihapus dari sisi BNB Chain dari jembatan tersebut. Penyerang juga mencetak 13,76 juta wrapped ALPH yang tidak dijamin dan mentransfernya langsung ke dompet mereka.
Alephium menutup jembatan dan menyatakan bahwa mereka sedang mengeksplorasi semua opsi untuk memulihkan pengguna yang terdampak.
Insiden ini menambah gambaran yang memburuk untuk infrastruktur lintas-rantai pada 2026. Kerugian peretasan kripto April mencapai $606 juta, dan total peretasan DeFi Mei terus meningkat menjelang Juni.
Eksploitasi CrossCurve bridge dan eksploitasi Hyperbridge, keduanya direvisi menjadi $2,5 juta, juga berkontribusi terhadap total tahun ini.
Pesan Dipalsukan, Bukan Kunci Dicuri
Para pengembang membangun Alephium TokenBridge pada fork dari protokol Wormhole, yang mengandalkan jaringan guardian untuk memvalidasi pesan lintas rantai. Kuorum guardian harus menyetujui setiap transfer, sehingga kemampuan untuk menyisipkan pesan penipuan menjadi kerentanan berdampak tinggi.
Laporan awal mengaitkan pelanggaran tersebut dengan kunci pribadi penjaga yang dikompromikan, menimbulkan perbandingan dengan kompromi kunci Gravity Bridge yang merugikan $5,4 juta lebih awal pada tahun 2026. Pembaruan pasca-insiden Alephium bertentangan dengan kerangka tersebut.
Eksploitasi tampaknya tidak melibatkan kompromi kunci pribadi penjaga. Sebaliknya, tampaknya melibatkan eksploitasi yang memungkinkan peristiwa/pesan jahat yang dipalsukan diamati dan ditandatangani oleh para penjaga,” kata Alephium
Perbedaan ini penting. Titik kompromi utama menuju kegagalan operasional, sementara serangan pesasa palsu menunjukkan kelemahan dalam cara jembatan memvalidasi data yang masuk sebelum menyajikannya kepada para penjaga.
Dinamika serupa muncul dalam eksploitasi jembatan Polkadot, di mana penyerang secara curang memvalidasi transaksi dan mencetak token yang tidak dijamin. Alephium mengatakan laporan teknis lengkap dari timnya akan segera dirilis.