Mensagens de bridge falsificadas permitiram que o hacker roubasse 815.000 dólares do Alephium

BeInCrypto FI · 2026-05-31T13:47:01.000Z

O TokenBridge do Alephium (ALPH) foi drenado em cerca de 815.000 dólares, quando o atacante explorou uma vulnerabilidade que permitiu que mensagens falsificadas passassem pela rede de guardiões do protocolo, possibilitando transferências fraudulentas de tokens. A equipe do Alephium confirmou que a empresa de segurança em blockchain Blockaid foi a primeira a detectar o ataque. A unidade de emergência SEAL_911 da Security Alliance ajudou e respondeu à situação durante toda a investigação. O ataque levou 815.000 dólares em menos de sete minutos.

Alephiumin (ALPH) TokenBridge tyhjennettiin noin 815 000 dollarin arvosta, kun hyökkääjä hyödynsi haavoittuvuutta, jonka vuoksi väärennetyt viestit pääsivät protokollan guardian-verkon läpi ja mahdollistivat vilpilliset tokensiirrot.
Alephiumin tiimi vahvisti, että blockchain-turvallisuusyritys Blockaid havaitsi hyökkäyksen ensimmäisenä. Security Alliancen SEAL_911-hätäyksikkö auttoi ja reagoi tilanteeseen koko tutkimuksen ajan.
Hyökkäys vei 815 000 dollaria alle seitsemässä minuutissa
Hyökkääjä siirsi varoja Alephium TokenBridgeltä sekä Ethereumissa että BNB Chainissä noin seitsemässä minuutissa. Ethereumissa menetyksiin kuului 200 967 Tetheriä (USDT), 17 594 USD Coinia (USDC), 5,18 Wrapped Etheriä (WETH) ja 0,335 Wrapped Bitcoinia (WBTC).
BNB Chainin puolella sillalta vietiin lisäksi 36 750 USDT:tä ja 24,386 Wrapped BNB:tä. Hyökkääjä myös loi 13,76 miljoonaa vakuudettomasti wrapattua ALPHia ja siirsi ne suoraan omaan lompakkoonsa.
Alephium sulki sillan ja ilmoitti selvittävänsä kaikki vaihtoehdot korvatakseen vahingot käyttäjille.
A sincere thank you to the @blockaid_ team for being the first to detect the exploit and for their support throughout the investigation.We would also like to thank the @SEAL_911 team for their assistance and responsiveness during the incident.The collaboration and… https://t.co/pxEldVyl5Z
 — Alephium (@alephium) May 30, 2026
Tämän tapauksen myötä cross-chain-infrastruktuurin tilanne vuonna 2026 synkkenee entisestään. Huhtikuun kryptomurtojen tappiot nousivat 606 miljoonaan dollariin, ja toukokuun DeFi-hyökkäykset ovat jatkaneet kasvuaan kesäkuuta kohden.
Myös CrossCurve-siltahyökkäys sekä Hyperbridge-hyökkäys, molemmat korjattu 2,5 miljoonaan dollariin, kasvattivat vuoden kokonaistappioita.
Väärennetyt viestit, ei varastetut avaimet
Kehittäjät rakensivat Alephium TokenBridgen Wormhole-protokollan haarukalle, joka perustuu guardian-verkkoon ristiin-ketjuviestien varmistamisessa. Siirtoon vaaditaan guardianeiden hyväksyvä allekirjoitus, joten kyky tuoda järjestelmään väärennettyjä viestejä on suuri haavoittuvuus.
Ensimmäiset raportit viittasivat guardianien yksityisten avainten vaarantumiseen ja vertasivat tapahtunutta Gravity Bridgen avainkompromissiin, jossa menetettiin 5,4 miljoonaa dollaria vuoden 2026 alkupuolella. Alephiumin myöhempi tilannepäivitys kuitenkin kumoaa tämän näkemyksen.
“Vaikuttaa siltä, että hyökkäykseen ei liittynyt guardianien yksityisten avainten vaarantumista. Sen sijaan kyse oli haavoittuvuudesta, jonka ansiosta väärennetyt haitalliset tapahtumat/viestit voitiin havaita ja allekirjoittaa guardianien toimesta”, kertoo Alephium
Ero on merkittävä. Avaimen menetys osoittaisi toiminnallista epäonnistumista, kun taas väärennettyihin viesteihin perustuva hyökkäys kertoo puutteesta sillan vastaanottaman tiedon varmennuksessa ennen kuin se esitetään guardianeille.
Samankaltainen tilanne nähtiin myös Polkadotin siltahyökkäyksessä, jossa hyökkääjä hyväksyi väärin perustein siirtoja ja loi vakuudettomia tokeneita. Alephiumin mukaan tiimin täydellinen tekninen analyysi julkaistaan myöhemmin.