Alephium (ALPH) TokenBridge, bir saldırganın protokolün koruyucu ağı üzerinden sahte mesajların geçmesine izin veren bir hata kullanarak yaklaşık 815.000 dolarlık tutarda boşaltıldı.
Alephium ekibi, blok zinciri güvenliği firması Blockaid'in saldırıyı ilk tespit eden kurum olduğunu doğruladı. Güvenlik İttifakı'nın SEAL_911 acil yanıt birimi, ardından yapılan araştırmalar boyunca yardım ve hızlı tepki sağladı.
Bir saldırgan, 7 dakikadan kısa bir sürede 815.000 doları çalmıştır
Saldırgan, Ethereum ve BNB Chain üzerindeki Alephium TokenBridge'ten fonları yaklaşık yedi dakika içinde taşıdı. Ethereum'da kayıplar, 200.967 Tether (USDT), 17.594 USD Coin (USDC), 5,18 Sarılmış Ether (WETH) ve 0,335 Sarılmış Bitcoin (WBTC) içeriyordu.
Köprünün BNB Chain tarafından ek olarak 36.750 USDT ve 24,386 Wrapped BNB kaldırıldı. Saldırgan aynı zamanda 13,76 milyon desteklenmeyen Wrapped ALPH yarattı ve bunları doğrudan cüzdanına aktardı.
Alephium, köprüyü kapattı ve etkilenen kullanıcıları tamamen telafi etmek için tüm seçenekleri incelemektedir.
Olay, 2026 yılında çapraz zincir altyapısı için kötüleşen bir resme katkıda bulunuyor. Nisan kripto hırsızlığı kayıpları 606 milyon dolara ulaştı ve Mayıs DeFi hırsızlığı toplamı Haziran'a doğru yükselmeye devam ediyor.
CrossCurve köprüsü istismarı ve Hyperbridge istismarı, her ikisi de 2,5 milyon dolara düzeltilmiş, yılın toplamına da katkıda bulundu.
Sahte Mesajlar, Çalınan Anahtarlar Değil
Geliştiriciler, Alephium TokenBridge'yi Wormhole protokolünün bir çatallanmasında inşa etti ve bu protokol, çapraz zincir mesajlarını doğrulamak için bir koruyucu ağına dayanır. Her transfer için koruyucuların bir çoğunluğunun onay vermesi gerekir; bu da sahte mesajlar enjekte etme yeteneğinin yüksek etkili bir zafiyet olmasına neden olur.
İlk raporlar, ihlalin, Gravity Bridge anahtar komproması'na benzer şekilde zarar görmüş koruyucu özel anahtarlar nedeniyle meydana geldiğini öne sürdü; bu olay, 2026'nın erken dönemlerinde 5,4 milyon dolarlık kayba neden olmuştu. Alephium, olay sonrası yaptığı güncelleme bu çerçeveyi çürütüyor.
Saldırının, koruyucuların özel anahtarlarının ele geçirilmesiyle ilgili görünmediği, bunun yerine koruyucular tarafından gözlemlenip imzalanabilen sahte zararlı olaylar/mesajlar üretmeye izin veren bir zafiyetten yararlanıldığını söylüyor Alephium.
Bu ayrım önemlidir. Bir operasyonel başarısızlığa yönelik temel bir uzlaşım noktasıken, sahte mesaj saldırısı, köprü tarafından koruyuculara sunulmadan önce gelen verilerin nasıl doğrulandığındaki bir hata olduğunu gösterir.
Polkadot köprüsündeki bir sızıntıda benzer bir dinamik ortaya çıktı; saldırgan, işlemlerini hileli şekilde doğruladı ve desteksiz token'lar yarattı. Alephium, ekibinin tam bir teknik sonrası inceleme raporunu yakında paylaşacağını duyurdu.