Alephium(ALPH)的 TokenBridge 在攻擊者利用一個漏洞後,被盜取了約 $815,000,該漏洞允許偽造訊息通過協議的守護網路,並授權欺詐性代幣轉帳。
Alephium 團隊確認,區塊鏈安全公司 Blockaid 是首個檢測到此漏洞的機構。安全聯盟的 SEAL_911 緊急應對小組也在隨後的調查過程中提供了協助與快速響應。
漏洞在不到 7 分鐘內盜取了 815,000 美元
攻擊者在大約七分鐘內,從以太坊和 BNB 鏈上的 Alephium TokenBridge 轉移了資金。在以太坊上,損失包括 200,967 Tether (USDT)、17,594 USD Coin (USDC)、5.18 Wrapped Ether (WETH) 和 0.335 Wrapped Bitcoin (WBTC)。
橋樑的 BNB Chain 端額外移除了 36,750 USDT 和 24.386 Wrapped BNB。攻擊者還鑄造了 1376 萬枚無擔保的 Wrapped ALPH,並直接轉移至其錢包。
Alephium 已關閉橋樑,並表示正在探索所有方案,以讓受影響的用戶獲得賠償。
這起事件進一步加劇了2026年跨鏈基礎設施的惡化情況。4月加密貨幣駭客攻擊損失達6.06億美元,而5月DeFi駭客攻擊總損失在進入6月後持續攀升。
CrossCurve 橋樞紐遭攻擊 和 Hyperbridge 攻擊事件 均修正為 250 萬美元,也貢獻了本年度總額。
偽造的訊息,而非盜取的密鑰
開發者基於 Wormhole 協議的分叉構建了 Alephium TokenBridge,該協議依賴守護者網絡來驗證跨鏈消息。任何轉帳都需要一定數量的守護者簽署,因此注入欺詐性消息的能力構成高影響漏洞。
初步報告將此次入侵歸因於受損的守護者私鑰,並與 Gravity Bridge 鑰匙遭入侵 事件相比,該事件於 2026 年初造成 5.4 百萬美元的損失。Alephium 的事後更新與此說法相矛盾。
Alephium 表示:「此次攻擊似乎並未涉及守護者私鑰的洩露,而是利用了允許守護者觀測並簽署偽造惡意事件/訊息的漏洞。」
這種區別至關重要。關鍵的妥協點可能導致運營失敗,而偽造訊息攻擊則表明橋樑在將傳入資料呈現給守護者之前,驗證機制存在缺陷。
在波卡橋樑攻擊事件中,出現了類似的動態,攻擊者欺騙性地驗證了交易並發行了無資產支持的代幣。Alephium 表示,其團隊將發布完整的技術復盤報告。