Alephium, sebuah Layer 1 bukti-kerja yang menjalankan cabang peribadi jambatan Wormhole, mengalami kerugian sebanyak $815,000 di atas ethereum dan BNB Chain pada hari Jumaat selepas penyerang mendorong mesej palsu melalui latar belakang jambatan dan keluar di sebelah lain sebagai pindahan yang kelihatan sah, menurut pasukan. Alephium telah menutup jambatan tersebut dan menyatakan tiada transaksi baru boleh dimulakan.
Penyerang mengosongkan 200,967 USDT, 17,594 USDC, 5.18 WETH dan 0.335 WBTC di ethereum, ditambah 36,750 USDT dan 24.386 WBNB di BNB Chain, per perakaunan Alephium, serta mencetak 13.76 juta ALPH terbungkus di ethereum tanpa ALPH yang dikunci sepadan di blok rantai Alephium. Keseluruhan urutan mengambil masa sekitar tujuh minit, menurut firma keselamatan blok rantai Blockaid, yang pertama kali mengesan serangan itu dan memanggil unit respons kecemasan SEAL 911.
Nombor utama headline kecil mengikut ukuran tahun jambatan 2026 — data PeckShield meletakkan kerugian jambatan lintas-chain kumulatif pada sekitar $329 juta sehingga pertengahan Mei — tetapi mekanisme serangan adalah perkara yang perlu diperhatikan. Laporan awal, termasuk dari Blockaid, menyalahkan kunci penjaga yang telah disusupi. Alephium dan Blockaid seterusnya telah mengubah pandangan itu.
Apa Sebenarnya yang Rosak
Dalam post susulan, Blockaid mengatakan serangan itu "tidak kelihatan melibatkan kebocoran kunci peribadi penjaga. Sebaliknya, ia kelihatan melibatkan eksploit yang membolehkan peristiwa/pesan jahat palsu diperhatikan dan ditandatangani oleh penjaga." Pernyataan pasca-insiden Alephium sendiri mengesan punca utama kepada "kerentanan luar talian di latar belakang jambatan yang boleh dipicu dalam kes-kes sempadan tertentu" dan menolak sama ada ralat kontrak pintar atau kebocoran kunci.
Perbezaannya ialah ceritanya. Insiden kehilangan kunci adalah kegagalan keselamatan operasi — penjaga penjaga kehilangan kawalan atas peranti tanda tangan. Insiden peristiwa palsu adalah kelemahan peringkat perisian antara kontrak di rantai jambatan dan proses di luar rantai yang memberikan maklumat kepada penjaga untuk ditandatangani. Dengan kata lain, penjaga menandatangani tanda tangan yang sah atas data yang tidak sah. Enam daripada persetujuan yang ditandatangani itu cukup untuk mengosongkan jambatan.
Set Empat Penjaga
Cabang Alephium menggunakan empat penjaga dengan kuorum tiga. Wormhole's mainnet, sebaliknya, menjalankan 19 penjaga dan kuorum 13 tanda tangan. Di bawah set Wormhole yang lebih besar, satu ralat latar belakang yang menghantar mesej palsu kepada satu penjaga masih perlu meyakinkan dua belas lagi. Di bawah set empat penjaga, ralat yang sama hanya perlu meyakinkan dua. Matematiknya tidak memberi ruang sekali aliran luar talian salah.
ALPH yang disimpan di dalam jambatan itu tidak dicuri dan boleh dipulihkan, katanya, dan Alephium telah menyeru pemegang ALPH di Ethereum dan BNB Chain untuk menarik likuiditi daripada kolam Uniswap dan PancakeSwap segera. Sebarang aktiviti pertukaran sekarang membolehkan penyerang menukar 13.76 juta ALPH berbungkus tanpa jaminan yang masih berada di dalam dompet penyerang menjadi nilai sebenar.
Pola Menang di Sepanjang 2026
Jambatan lintas-chian telah menjadi sasaran paling sibuk dalam DeFi tahun ini. Jambatan Verus-Ethereum kehilangan $11.5 juta pada 18 Mei akibat kelemahan pengesahan sokongan — kelas kecacatan yang sama, mesej penipuan yang lulus pemeriksaan yang sepatutnya gagal — dan Jambatan Gravity dikeluarkan $5.4 juta pada 30 Mei akibat kompromi kunci penandatanganan yang didakwa. CrossCurve dan Hyperbridge jatuh kepada kelemahan mesej palsu dan verifier lebih awal tahun ini. Paparan risiko berbeza; arsitektur jarang berubah.
Alephium mengatakan proses pemulihan untuk pengguna yang memiliki ALPH terkunci di jembatan akan diumumkan minggu depan, bersama dengan laporan teknis penuh dan butiran rancangan kompensasi. Jembatan tetap offline hingga saat itu.