Eine Cross-Chain-Bridge, die das Alephium (ALPH)-Netzwerk mit Ethereum (ETH) und der BNB Chain verbindet, verlor in rund sieben Minuten etwa 815.000 $, nachdem Angreifer gefälschte Nachrichten durch das Backend schleusten.
Kernaussagen:
- Angreifer entwendeten in rund sieben Minuten etwa 815.000 $ aus Alephiums TokenBridge über zwei Chains.
- Sie prägten 13,76 Millionen nicht gedeckte Wrapped ALPH – mehr als der gesamte bisherige Wrapped-Bestand der Bridge.
- Alephium macht einen Off-Chain-Backend-Fehler statt gestohlener Guardian-Schlüssel verantwortlich und sagt zu, betroffene Nutzer zu entschädigen.
Alephium TokenBridge in Rekordzeit geleert
Das Sicherheitsunternehmen Blockaid hat den Angriff am 30. Mai zuerst entdeckt, und die freiwillige Einsatztruppe SEAL 911 schloss sich rasch den Ermittlungen an. Der Angreifer schleuste fingierte Transferfreigaben durch die TokenBridge auf sowohl Ethereum als auch BNB Chain, leerte die Reserven und prägte neue Token.
Die gesamte Abfolge dauerte rund sieben Minuten.
Auf Ethereum erbeutete der Dieb 200.967 Tether (USDT), 17.594 USD Coin (USDC) und kleinere Beträge an Wrapped Ether und Wrapped Bitcoin, während auf der BNB Chain 36.750 USDT und 24,386 Wrapped BNB verloren gingen. Dieselbe Wallet prägte außerdem 13,76 Millionen Wrapped ALPH, ohne dass echte ALPH dafür hinterlegt waren.
Diese Beute übertraf den gesamten bisherigen Wrapped-Bestand der Bridge, sodass der Angreifer Token hielt, die faktisch aus dem Nichts geschaffen wurden.
Auch lesen: Cardano Tops Every Major Chain In Stablecoin Growth, Up 61% In A Week
Off-Chain-Fehler statt gestohlener Schlüssel
Frühe Berichte machten drei von vier kompromittierten Guardian-Schlüsseln für den Vorfall verantwortlich, doch Alephium erklärte später, die eigentliche Ursache sei ein Off-Chain-Bug im Bridge-Backend gewesen, und Blockaid passte seine erste Einschätzung entsprechend an. Das Projekt betreibt einen privaten Fork des Wormhole-Messaging-Systems mit nur vier Signern, weshalb derselbe Fehler auch in anderen Bridges lauern könnte, die auf ähnlichem Code basieren.
Diese Neubewertung verändert die Einordnung des gesamten Vorfalls.
Alephium sagt Entschädigung der Nutzer zu
Alephium hat die Bridge angehalten, Inhaber aufgefordert, Liquidität aus ALPH-Pools abzuziehen, und einen Wiederherstellungsplan für Nutzer in Aussicht gestellt, deren Coins weiterhin eingeschlossen sind. Mit der offline genommenen Bridge kann der Angreifer die nicht gedeckten Wrapped ALPH nicht zurück darüber einschleusen, und die gestohlenen Gelder blieben zum Zeitpunkt der Offenlegung in der Wallet unberührt. Das Team erklärt, es prüfe alle Optionen, um betroffene Nutzer vollständig zu entschädigen; ein vollständiger Bericht soll in dieser Woche folgen.
Der Vorfall verlängert eine harte Phase für Cross-Chain-Bridges – die Infrastruktur, die Vermögenswerte zwischen separaten Blockchains transportiert.
Ein jüngster Angriff auf die Verus-Ethereum-Bridge drained about $11.58 million, und die gefälschten Nachrichten erinnern an Wormholes Verlust von mehr als 320 Millionen $ einige Jahre zuvor. Eine Auswertung bezifferte den Mai auf über 52 Millionen $ an gestohlenen Krypto-Vermögenswerten im gesamten Sektor.
Als Nächstes lesen: ETH Loses Its Last Floor And Stares Down A Drop Toward $1,800