Halaman Utama
Berita
Butiran

Pengeksploitasian TokenBridge Alephium ethereum menguras $815,000 dalam 7 minit

iconAMBCrypto
Kongsi
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$1,866.00-6.22%
AI summary iconRingkasan

expand icon
Sebuah serangan DeFi menyerang berita ethereum pada 30 Mei, apabila Blockaid melaporkan kebocoran dalam TokenBridge Alephium. Tiga daripada empat kunci penjaga telah diserang, membolehkan penyerang membuat VAAs palsu dan menarik $815,000 dalam tujuh minit. Penyerang mencetak 13.76 juta ALPH dibungkus tanpa membuat setoran aset sebenar, secara efektif mencipta token daripada tiada apa-apa. Serangan DeFi ini mengungkap kelemahan keselamatan kritikal dalam infrastruktur lintas rantai.

Lima bulan memasuki tahun 2026, dan serangan berterusan. Blockaid, sebuah syarikat keselamatan blok rantai, menemui eksploit baru yang menargetkan Alephium TokenBridge ethereum pada 30 Mei.

Menurut penyiasatan, tiga daripada empat kunci penjaga yang disusupi yang menandatangani VAAs palsu (Verified Action Approvals) digunakan untuk menarik $815,000 dalam tujuh minit.

Bagaimana kunci penjaga dikompromikan?

Sebagai konteks, Alephium TokenBridge adalah jambatan yang menghubungkan ethereum dan blok rantai Alephium.

posting

Apabila pengguna berpindah dari Alephium ke Ethereum [ETH], ALPH asli akan dikunci pada satu rantai. Ke depannya, Ethereum digunakan untuk mencetak versi dibungkus (wALPH).

Sebelum membenarkan proses mint berterusan, tiga penjaga jambatan mengesahkan bahawa kunci memang telah dibuat. Selain itu, untuk mengesahkan pindahan lintas rantai, sistem menggunakan tanda tangan penjaga.

Untuk mesej pindah disahkan oleh jambatan, tiga daripada empat penjaga perlu menandatangani ia. Namun, dalam serangan Alephium TokenBridge, tiga kunci peribadi penjaga tersebut telah didapat oleh penyerang.

Selepas mendapatkan kunci-kunci tersebut, mereka mencipta mesej jambatan palsu yang dikenali sebagai VAAs dan membuatnya kelihatan autentik.

Tikungan ‘pencetakan’

Selain mencetak ALPH, VAAs yang dipalsukan memberikan arahan kepada jambatan untuk melepaskan aset yang telah dirampas.

Akibat penyerang berjaya meyakinkan jambatan bahawa terdapat penarikan yang sah, Tether [USDT], USD Coin [USDC], Wrapped Bitcoin (WBTC), dan Wrapped Ether (WETH) dibuka kunci.

Tanpa membuat deposit ALPH yang sebenarnya, penyerang membuat 13.76 juta ALPH terbungkus. Menurut Blockaid, ini lebih daripada 100% daripada jumlah terbungkus yang tersedia sebelumnya.

Dengan kata lain, penyerang pada dasarnya menghasilkan sejumlah besar aset yang didukung ALPH dari ketiadaan.

Serangan serupa di masa lalu

Ini menyerupai Wormhole Bridge Exploit, di mana penyerang menciptakan aset yang tidak pernah disokong oleh jaminan dan memalsukan mesej jambatan.

Selain itu, ini mengikuti serangan terkini terhadap Verus-Ethereum bridge, yang menguras kira-kira $11.58 juta.

Ringkasan Akhir

  • Dalam serangan ini, tiga daripada empat kunci penjaga yang disusupi menyebabkan penarikan sebanyak $815,000 dalam masa tujuh minit sahaja.
  • Penyerang mencetak 13.76 juta ALPH yang dibungkus tanpa membuat deposit ALPH sebenarnya.
Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini. Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.