Trang chủ
Tin tức
Chi tiết

Lỗ hổng TokenBridge của Alephium trên ethereum rút cạn 815.000 USD trong 7 phút

iconAMBCrypto
Chia sẻ
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$1.896,77-4,6%
AI summary iconTóm tắt

expand icon
Một vụ khai thác DeFi đã ảnh hưởng đến Ethereum vào ngày 30 tháng Năm, khi Blockaid báo cáo một lỗ hổng trong TokenBridge của Alephium. Ba trong số bốn chìa khóa giám sát đã bị xâm phạm, cho phép kẻ tấn công tạo ra các VAAs giả và rút đi 815.000 USD trong bảy phút. Kẻ tấn công đã tạo ra 13,76 triệu ALPH được đóng gói mà không cần gửi tài sản thật, hiệu quả là tạo ra token từ không có gì. Vụ khai thác DeFi đã phơi bày những lỗ hổng bảo mật nghiêm trọng trong cơ sở hạ tầng liên chuỗi.

Đã năm tháng trôi qua kể từ đầu năm 2026, và các cuộc tấn công vẫn tiếp diễn. Blockaid, một công ty bảo mật blockchain, đã phát hiện một lỗ hổng mới nhắm vào Alephium TokenBridge của ethereum vào ngày 30 tháng Năm.

Theo cuộc điều tra, ba trong số bốn chìa khóa giám hộ bị xâm phạm đã được sử dụng để ký các VAAs giả mạo (Verified Action Approvals), dẫn đến việc rút mất 815.000 USD trong bảy phút.

Các khóa giám hộ đã bị xâm phạm như thế nào?

Để làm rõ, Alephium TokenBridge là một cầu nối kết nối ethereum và blockchain Alephium.

quảng cáo

Khi người dùng chuyển từ Alephium sang Ethereum [ETH], ALPH thật sẽ bị khóa trên một chuỗi duy nhất. Về phía trước, Ethereum được sử dụng để đúc phiên bản được bao bọc (wALPH).

Trước khi cho phép mint tiếp tục, ba người bảo vệ cầu xác nhận rằng việc khóa đã được thực hiện thực sự. Ngoài ra, để xác minh các khoản chuyển đổi liên chuỗi, hệ thống sử dụng chữ ký của những người bảo vệ.

Để một thông điệp chuyển được cầu nối phê duyệt, ba trong số bốn người giám hộ phải ký vào nó. Tuy nhiên, trong cuộc tấn công Alephium TokenBridge, ba khóa riêng của người giám hộ đã bị những kẻ tấn công chiếm lấy.

Sau khi có được những khóa đó, họ đã tạo ra các tin nhắn cầu giả mạo được gọi là VAAs và khiến chúng trông giống như thật.

Sự biến thể “minting”

Ngoài việc đúc ALPH, các VAAs giả đã cung cấp hướng dẫn cho cầu để giải phóng các tài sản đã bị phong tỏa.

Do kết quả của việc kẻ tấn công thuyết phục cầu nối rằng đã có các khoản rút hợp lệ, Tether [USDT], USD Coin [USDC], Wrapped Bitcoin (WBTC) và Wrapped Ether (WETH) đã được giải phóng.

Mà không thực hiện nạp ALPH thật, những kẻ tấn công đã tạo ra 13,76 triệu ALPH được đóng gói. Theo Blockaid, con số này vượt quá 100% nguồn cung ALPH được đóng gói trước đó.

Nói cách khác, kẻ tấn công về cơ bản đã tạo ra một lượng lớn tài sản được hỗ trợ bởi ALPH một cách vô căn cứ.

Các cuộc tấn công tương tự trong quá khứ

Điều này giống với Wormhole Bridge Exploit, nơi những kẻ tấn công tạo ra các tài sản không được đảm bảo bởi tài sản thế chấp và làm giả các tin nhắn cầu.

Thêm vào đó, điều này xảy ra sau một cuộc tấn công gần đây vào Verus-Ethereum bridge, làm cạn kiệt khoảng 11,58 triệu USD.

Tóm tắt cuối cùng

  • Trong cuộc tấn công này, ba trong số bốn khóa giám hộ bị xâm phạm đã dẫn đến việc rút mất 815.000 USD chỉ trong bảy phút.
  • Các kẻ tấn công đã tạo ra 13,76 triệu ALPH được đóng gói mà không thực sự gửi bất kỳ ALPH nào.
Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này. Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụngTiết lộ rủi ro của chúng tôi.