Trang chủ
Tin tức
Chi tiết

Cầu liên chuỗi Alephium bị tấn công, $815K bị đánh cắp trong 7 phút

icon币界网
Chia sẻ
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
USDT
----
This is the logo of the coin.
USDC
$1,00080%
This is the logo of the coin.
WBTC
$63.350,260,34%
AI summary iconTóm tắt

expand icon
Tin tức trên chuỗi: TokenBridge của Alephium bị tấn công vào ngày 30 tháng Năm, với 815.000 USD bị đánh cắp trong 7 phút. Kẻ tấn công kiểm soát 3 trong 4 khóa bảo vệ, tạo ra các tin nhắn phê duyệt giả mạo và rút hết USDT, USDC, WBTC và WETH. Hơn 13,76 triệu wALPH đã được đúc mà không có khoản nạp nào. Tin tức về tài sản thực tế (RWA): sự cố này tương tự các cuộc tấn công cầu nối trước đây, phơi bày rủi ro trong quản lý khóa và các hệ thống multi-sig.
Bijiewang báo cáo:

TokenBridge kết nối Ethereum và Alephium đã bị tấn công vào ngày 30 tháng 5. Công ty an ninh blockchain Blockaid cho biết, kẻ tấn công đã kiểm soát 3 trong số 4 chìa khóa giám hộ và sử dụng chúng để tạo giả tin xác nhận liên chuỗi, chuyển đi khoảng 815.000 USD tài sản trong vòng khoảng 7 phút.

Điểm tấn công nằm ở chữ ký của người bảo vệ

Alephium TokenBridge dùng để kết nối chuỗi Ethereum và Alephium. Khi người dùng chuyển ALPH từ Alephium sang Ethereum, tài sản bản địa sẽ được khóa ở một phía trước, sau đó tài sản được đóng gói tương ứng wALPH sẽ được đúc ở phía Ethereum.

Quy trình này phụ thuộc vào chữ ký của những người bảo vệ để xác nhận tính hợp lệ của thông điệp liên chuỗi. Theo thiết kế của cầu, ít nhất 3 trong số 4 người bảo vệ phải ký tên thì thông điệp chuyển tiền mới được phê duyệt. Blockaid cho biết, kẻ tấn công đã chiếm được khóa riêng của 3 trong số những người bảo vệ, do đó có thể tạo ra các VAA giả mạo trông giống như thông điệp phê duyệt liên chuỗi hợp lệ.

Releasing multiple assets after forging messages

Sau khi có khả năng ký tên, kẻ tấn công không chỉ giả mạo quy trình đúc wALPH, mà còn khiến cầu thực hiện sai việc giải phóng tài sản. Cầu đã nhận diện các tin giả mạo này là các yêu cầu rút tiền hợp lệ, do đó đã giải phóng nhiều tài sản đang được lưu ký trong cầu.

  • USDT
  • USDC
  • WBTC
  • WETH

Blockaid cũng cho biết, kẻ tấn công đã đúc thêm 13,76 triệu wALPH mà không thực sự gửi vào ALPH. Số lượng này đã vượt quá tổng nguồn cung được đóng gói đang lưu hành trước đó, nghĩa là những tài sản này không có tài sản thế chấp thực sự hỗ trợ.

Tương tự các cuộc tấn công cầu liên chuỗi trước đây

Sự kiện này có điểm tương đồng với cuộc tấn công vào cầu chuyển chuỗi Wormhole trước đó. Cả hai đều liên quan đến việc giả mạo tin nhắn chuyển chuỗi và tạo ra tài sản không có sự hỗ trợ thế chấp đầy đủ.

Báo cáo cũng đề cập rằng cầu liên chuỗi giữa Verus và Ethereum gần đây cũng đã bị tấn công, gây thiệt hại khoảng 11,58 triệu USD. Những sự kiện cầu liên chuỗi liên tiếp xảy ra một lần nữa phơi bày rằng xác thực đa chữ ký và quản lý khóa vẫn là những điểm rủi ro chính của các giao thức cầu.

Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này. Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụngTiết lộ rủi ro của chúng tôi.