Alephium(ALPH)のTokenBridgeは、攻撃者がプロトコルのガーディアンネットワークを経由して偽のメッセージを通過させ、不正なトークン振替を承認する脆弱性を悪用した結果、約815,000ドルが奪われました。
Alephiumチームは、ブロックチェーンセキュリティ企業Blockaidがこの攻撃を最初に検出したこと確認しました。セキュリティアライアンスのSEAL_911緊急対応ユニットも、その後の調査全体にわたり支援と迅速な対応を提供しました。
悪用により7分未満で815,000ドルが引き出される
攻撃者は、EthereumおよびBNB Chain上のAlephium TokenBridgeから、約7分で資金を移動しました。Ethereumでは、損失として200,967 Tether (USDT)、17,594 USD Coin (USDC)、5.18 Wrapped Ether (WETH)、および0.335 Wrapped Bitcoin (WBTC)が含まれます。
ブリッジのBNBチェーン側から、追加で36,750 USDTと24.386 Wrapped BNBが取り除かれました。攻撃者はまた、1,376万枚の裏付けのないWrapped ALPHを発行し、それらを直接自分のウォレットに転送しました。
Alephiumはブリッジを停止し、影響を受けたユーザーを補填するためのあらゆる選択肢を検討していると発表しました。
この出来事は、2026年のクロスチェーンインフラにおける悪化する状況に加わるものである。4月の暗号資産ハッキング損失は6億600万ドルに達し、5月のDeFiハッキング被害額は6月にかけてさらに増加し続けている。
CrossCurveブリッジの悪用とHyperbridgeの悪用(ともに250万ドルに修正)も、今年の合計に寄与しました。
偽造されたメッセージ、盗まれたキーではない
開発者は、Alephium TokenBridgeをWormholeプロトコルのフォークに基づいて構築し、これはガーディアンネットワークを利用してクロスチェーンメッセージを検証します。いかなる振替に対しても、ガーディアンの過半数が承認する必要があり、不正なメッセージを注入する能力は高影響の脆弱性となります。
初期の報告では、この侵害はガーディアンの秘密鍵が侵害されたことが原因とされ、2026年初頭に540万ドルの損失をもたらしたGravity Bridgeの鍵侵害と比較された。しかし、Alephiumの事後更新はその説明に反する。
「この攻撃は、ガーディアンのプライベートキーの侵害を伴っていないようです。代わりに、偽造された悪意のあるイベント/メッセージがガーディアンによって観察され、署名される可能性のある脆弱性が悪用されたようですが、」とAlephiumは述べています。
この違いは重要です。運用障害の重要な妥協点である一方、偽メッセージ攻撃は、ブリッジがガーディアンにデータを提示する前に受信データを検証する方法に欠陥があることを示しています。
ポルカドットブリッジの攻撃でも同様の動向が見られ、攻撃者は不正にトランザクションを検証し、裏付けのないトークンを発行しました。Alephiumは、同チームによる完全な技術的後日談を今後発表すると述べています。