Alephium Mengatakan Cacat Off-Chain, Bukan Kunci yang Dicuri, Membuka Celah $815K

Jembatan lintas rantai yang menghubungkan jaringan Alephium (ALPH) ke Ethereum (ETH) dan BNB Chain kehilangan sekitar $815.000 dalam waktu sekitar tujuh menit setelah penyerang memaksa pesan palsu melalui backend-nya.
Poin Penting:
Penyerang menguras sekitar $815.000 dari TokenBridge Alephium di dua rantai dalam waktu sekitar tujuh menit.
Mereka mencetak 13,76 juta ALPH wrapped tanpa dukungan, lebih banyak dari total pasokan wrapped sebelumnya dari jembatan itu.
Alephium menyalahkan cacat di backend off-chain, bukan kunci penjaga yang dicuri, dan telah berjanji untuk mengganti rugi pengguna yang terdampak.
Alephium TokenBridge Terbongkar Cepat
Perusahaan keamanan Blockaid pertama kali mendeteksi serangan pada 30 Mei, dengan unit respons sukarela SEAL 911 cepat bergabung dalam penyelidikan. Penyerang mendorong persetujuan transfer yang dipalsukan melalui TokenBridge di Ethereum dan BNB Chain, menguras cadangan, dan mencetak token baru.
Seluruh urutan memakan waktu sekitar tujuh menit.
Di Ethereum, pencuri mengambil 200,967 Tether (USDT), 17,594 USD Coin (USDC), dan jumlah yang lebih kecil dari Wrapped Ether dan Wrapped Bitcoin, sementara sisi BNB Chain menyerahkan 36,750 USDT dan 24.386 Wrapped BNB. Dompet yang sama juga mencetak 13.76 juta wrapped ALPH tanpa ALPH nyata yang terjebak di belakangnya.
Hasil itu melewati seluruh pasokan wrapped sebelumnya dari jembatan, meninggalkan penyerang memegang koin yang diciptakan dari ketiadaan.
Baca Juga: Cardano Mengungguli Setiap Rantai Besar Dalam Pertumbuhan Stablecoin, Naik 61% Dalam Seminggu
Kekurangan Off-Chain, Bukan Kunci yang Dicuri
Laporan awal mengaitkan pelanggaran pada tiga dari empat kunci penjaga yang terkompromi, tetapi Alephium kemudian mengatakan bahwa penyebab sebenarnya adalah bug off-chain di backend jembatan, dan Blockaid melunakkan pembacaan pertamanya untuk mencocokkan. Proyek ini menjalankan fork pribadi dari sistem pesan Wormhole dengan hanya empat penandatangan, jadi kelemahan yang sama mungkin tersembunyi di jembatan lain yang dibangun dengan kode serupa.
Perubahan penyebab merombak seluruh insiden.
Alephium Berjanji Untuk Mengembalikan Pengguna
Alephium telah menghentikan jembatan, mendorong pemegang untuk menarik likuiditas dari kolam ALPH, dan berjanji untuk menyediakan jalur pemulihan bagi pengguna yang koinnya terjebak di dalam. Dengan jembatan offline, penyerang tidak dapat mendorong ALPH wrapped yang tidak terdukung kembali melalui jembatan, dan dana yang dicuri tetap tidak bergerak di dompet saat pengungkapan. Tim menyatakan bahwa mereka sedang mempertimbangkan setiap opsi untuk membuat pengguna yang terkena dampak utuh, dengan postmortem lengkap dijadwalkan minggu ini.
Pelanggaran ini memperpanjang masa sulit bagi jembatan lintas rantai, yang berfungsi sebagai saluran untuk mengangkut aset antar blockchain yang terpisah.
Serangan baru-baru ini di jembatan Verus-Ethereum menguras sekitar $11.58 juta, dan taktik pesan yang dipalsukan mengingatkan pada kehilangan Wormhole lebih dari $320 juta beberapa tahun lalu. Satu hitungan memperkirakan bulan Mei dengan lebih dari $52 juta dalam crypto yang dicuri di seluruh sektor.
Baca Selanjutnya: ETH Kehilangan Lantai Terakhirnya Dan Menghadapi Penurunan Menuju $1,800