Beranda
Berita
Detail

Eksploitasi Alephium TokenBridge Ethereum menguras $815.000 dalam 7 menit

iconAMBCrypto
Bagikan
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$1.887,30-4,55%
AI summary iconRingkasan

expand icon
Eksploitasi DeFi menyerang berita Ethereum pada 30 Mei, ketika Blockaid melaporkan pelanggaran pada TokenBridge Alephium. Tiga dari empat kunci penjaga dikompromikan, memungkinkan penyerang membuat VAAs palsu dan menarik $815.000 dalam tujuh menit. Penyerang mencetak 13,76 juta ALPH terbungkus tanpa mendepositkan aset nyata, secara efektif menciptakan token dari ketiadaan. Eksploitasi DeFi ini mengungkap celah keamanan kritis dalam infrastruktur lintas rantai.

Lima bulan memasuki 2026, dan serangan terus berlanjut. Blockaid, perusahaan keamanan blockchain, menemukan eksploitasi baru yang menargetkan Alephium TokenBridge ethereum pada tanggal 30 Mei.

Menurut penyelidikan, tiga dari empat kunci penjaga yang disusupi yang menandatangani VAAs palsu (Verified Action Approvals) digunakan untuk menarik $815.000 dalam tujuh menit.

Bagaimana kunci penjaga dikompromikan?

Sebagai konteks, Alephium TokenBridge adalah jembatan yang menghubungkan Ethereum dan blockchain Alephium.

iklan

Ketika pengguna beralih dari Alephium ke Ethereum [ETH], ALPH asli dikunci di satu rantai. Ke depannya, Ethereum digunakan untuk mencetak versi terbungkus (wALPH).

Sebelum membiarkan proses mint berlanjut, tiga penjaga jembatan mengonfirmasi bahwa kunci memang telah dibuat. Selain itu, untuk memverifikasi transfer lintas rantai, sistem menggunakan tanda tangan penjaga.

Untuk pesan transfer disetujui oleh jembatan, tiga dari empat penjaga harus menandatanganinya. Namun, dalam serangan Alephium TokenBridge, tiga kunci pribadi penjaga entah bagaimana diperoleh oleh para penyerang.

Setelah mendapatkan kunci-kunci tersebut, mereka memalsukan pesan jembatan palsu yang dikenal sebagai VAAs dan membuatnya tampak otentik.

Sentuhan 'minting'

Selain mencetak ALPH, VAAs yang dipalsukan memberikan instruksi kepada jembatan untuk melepaskan aset yang sudah disita.

Sebagai akibat dari keberhasilan penyerang meyakinkan jembatan bahwa ada penarikan yang valid, Tether [USDT], USD Coin [USDC], Wrapped Bitcoin (WBTC), dan Wrapped Ether (WETH) dibuka.

Tanpa melakukan setoran ALPH nyata, para penyerang membuat 13,76 juta ALPH terbungkus. Menurut Blockaid, ini lebih dari 100% dari pasokan terbungkus yang sebelumnya tersedia.

Dengan kata lain, penyerang pada dasarnya menciptakan sejumlah besar aset yang didukung ALPH dari ketiadaan.

Serangan serupa di masa lalu

Ini menyerupai Wormhole Bridge Exploit, di mana penyerang menciptakan aset yang tidak pernah didukung oleh jaminan dan memalsukan pesan jembatan.

Selain itu, ini mengikuti serangan baru-baru ini terhadap Verus-Ethereum bridge, yang menguras sekitar $11,58 juta.

Ringkasan Akhir

  • Dalam serangan ini, tiga dari empat kunci penjaga yang dikompromikan mengakibatkan penarikan $815.000 dalam tujuh menit saja.
  • Penyerang mencetak 13,76 juta ALPH terbungkus tanpa benar-benar menyetor ALPH apa pun.
Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini. Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.