TokenBridge của Alephium (ALPH) đã bị rút khoảng 815.000 USD sau khi một kẻ tấn công khai thác lỗ hổng cho phép các thông điệp giả mạo đi qua mạng giám sát của giao thức và ủy quyền các giao dịch chuyển token gian lận.
Đội ngũ Alephium xác nhận rằng công ty an ninh blockchain Blockaid là đơn vị đầu tiên phát hiện vụ khai thác lỗ hổng. Đơn vị phản ứng khẩn cấp SEAL_911 của Liên minh An ninh cũng đã hỗ trợ và phản hồi tích cực trong suốt quá trình điều tra tiếp theo.
Lỗ hổng khai thác rút sạch 815.000 USD trong chưa đầy 7 phút
Kẻ tấn công đã chuyển tiền từ Alephium TokenBridge trên cả Ethereum và BNB Chain trong khoảng bảy phút. Trên Ethereum, tổn thất bao gồm 200.967 Tether (USDT), 17.594 USD Coin (USDC), 5,18 Wrapped Ether (WETH) và 0,335 Wrapped Bitcoin (WBTC).
Một lượng thêm 36.750 USDT và 24,386 Wrapped BNB đã được rút khỏi phía BNB Chain của cầu. Kẻ tấn công cũng đã tạo ra 13,76 triệu wrapped ALPH không được đảm bảo và chuyển chúng trực tiếp vào ví của họ.
Alephium đã đóng cầu và cho biết đang xem xét tất cả các phương án để bồi thường cho người dùng bị ảnh hưởng.
Sự cố này làm trầm trọng thêm bức tranh xấu đi của cơ sở hạ tầng chéo chuỗi trong năm 2026. Thiệt hại do hack tiền điện tử tháng Tư đạt 606 triệu USD, và tổng thiệt hại do hack DeFi tháng Năm tiếp tục tăng lên khi bước vào tháng Sáu.
Một lỗ hổng cầu CrossCurve và lỗ hổng Hyperbridge, cả hai được điều chỉnh xuống còn 2,5 triệu USD, cũng đóng góp vào tổng số của năm.
Tin nhắn giả mạo, không phải chìa khóa bị đánh cắp
Các nhà phát triển đã xây dựng Alephium TokenBridge trên một phân nhánh của giao thức Wormhole, dựa vào mạng lưới guardian để xác thực các tin nhắn liên chuỗi. Một đa số guardian phải ký xác nhận cho bất kỳ chuyển nào, khiến khả năng chèn tin giả trở thành lỗ hổng có tác động lớn.
Các báo cáo ban đầu cho rằng vụ xâm nhập là do các khóa riêng của người giám hộ bị xâm phạm, khiến người ta so sánh với lỗ hổng khóa Gravity Bridge khiến thiệt hại 5,4 triệu đô la vào đầu năm 2026. Bản cập nhật sau sự cố của Alephium phản bác cách diễn giải đó.
Cuộc khai thác dường như không liên quan đến việc các khóa riêng của người bảo vệ bị xâm phạm. Thay vào đó, dường như nó liên quan đến một lỗ hổng cho phép các sự kiện/tin nhắn giả mạo và độc hại được người bảo vệ quan sát và ký,” nói Alephium
Sự khác biệt này quan trọng. Một điểm thỏa hiệp then chốt dẫn đến sự cố hoạt động, trong khi một cuộc tấn công giả mạo tin nhắn cho thấy một lỗ hổng trong cách cầu xác thực dữ liệu đầu vào trước khi trình bày cho những người bảo vệ.
Một động thái tương tự đã xuất hiện trong vụ khai thác lỗ hổng cầu Polkadot, nơi kẻ tấn công xác thực giao dịch một cách gian lận và tạo ra các token không được đảm bảo. Alephium cho biết báo cáo phân tích kỹ thuật đầy đủ từ đội ngũ của họ sẽ được công bố sớm.