TokenBridge Alephium (ALPH) telah dikosongkan sebanyak kira-kira $815,000 selepas penyerang memanfaatkan kelemahan yang membolehkan mesej palsu melalui rangkaian penjaga protokol dan mengesahkan pemindahan token penipuan.
Pasukan Alephium mengesahkan bahawa firma keselamatan blok rantai Blockaid adalah yang pertama mengesan eksploit. Unit respons kecemasan SEAL_911 dari Security Alliance juga memberikan bantuan dan responsiviti sepanjang penyiasatan seterusnya.
Pengeksploitasian Menguras $815,000 dalam Kurang dari 7 Minit
Penyerang berpindah dana dari Alephium TokenBridge di kedua-dua Ethereum dan BNB Chain dalam masa kira-kira tujuh minit. Di Ethereum, kerugian termasuk 200.967 Tether (USDT), 17.594 USD Coin (USDC), 5.18 Wrapped Ether (WETH), dan 0.335 Wrapped Bitcoin (WBTC).
Sebanyak 36,750 USDT dan 24.386 Wrapped BNB tambahan telah dikeluarkan dari sisi BNB Chain jambatan tersebut. Penyerang juga mencetak 13.76 juta wrapped ALPH yang tidak disokong dan menghantar mereka secara langsung ke dompet mereka.
Alephium menutup jambatan dan menyatakan bahawa ia sedang mengkaji semua pilihan untuk memulihkan pengguna yang terkesan.
Kejadian ini menambah gambaran yang semakin memburuk bagi infrastruktur lintas rantai pada 2026. Kerugian hack kripto April mencapai $606 juta, dan jumlah hack DeFi Mei terus meningkat menjelang Jun.
Pengeksploitasian jambatan CrossCurve dan pengeksploitasian Hyperbridge, kedua-duanya diperbaharui kepada $2.5 juta, juga menyumbang kepada jumlah tahun ini.
Mesej Dipalsukan, Bukan Kunci Dicuri
Pembangun membina Alephium TokenBridge pada cabang protokol Wormhole, yang bergantung pada rangkaian penjaga untuk mengesahkan mesej lintas rantai. Kuorum penjaga mesti menandatangani sebarang pindah, menjadikan keupayaan untuk menyuntik mesej penipuan sebagai kerentanan berkesan tinggi.
Laporan awal menyalahkan pelanggaran tersebut kepada kunci peribadi penjaga yang telah disusupi, dengan membandingkannya kepada kebocoran kunci Gravity Bridge yang merugikan $5.4 juta pada awal 2026. Kemas kini pasca-insiden Alephium bertentangan dengan kerangka ini.
“Eksploitasi ini kelihatan tidak melibatkan kebocoran kunci peribadi penjaga. Sebaliknya, ia kelihatan melibatkan eksploitasi yang membolehkan peristiwa/pesan jahat yang dipalsukan diperhatikan dan ditandatangani oleh penjaga,” kata Alephium
Perbezaan ini penting. Satu titik kompromi utama kepada kegagalan operasi, sementara serangan pesalah palsu menunjukkan kelemahan dalam cara jambatan mengesahkan data yang masuk sebelum memaparkannya kepada penjaga.
Dinamik yang serupa muncul dalam eksploit jambatan Polkadot, di mana penyerang secara curang mengesahkan transaksi dan mencetak token yang tidak disokong. Alephium mengatakan laporan teknikal penuh daripada pasukannya akan segera dikeluarkan.