連接 Alephium (ALPH) 網路與 Ethereum (ETH) 及 BNB Chain 的跨鏈橋,在約七分鐘內損失約 81.5 萬美元,起因是攻擊者透過其後端強行通過偽造訊息。
重點:
- 攻擊者在約七分鐘內,從 Alephium 的 TokenBridge 在兩條鏈上共轉走約 81.5 萬美元。
- 他們鑄造了 1,376 萬枚沒有資產支撐的包裹 ALPH,數量超過橋此前全部包裹供應量。
- Alephium 指責的是離鏈後端漏洞,而非被盜守護者私鑰,並承諾向受影響用戶賠償。
Alephium TokenBridge 快速被掏空
安全公司 Blockaid 於 5 月 30 日首先偵測到 這次攻擊,志願響應組織 SEAL 911 隨即加入調查。攻擊者在 Ethereum 和 BNB Chain 兩側的 TokenBridge 中推送偽造的轉帳核准,掏空儲備並鑄造新代幣。
整個過程大約只花了七分鐘。
在 Ethereum 上,攻擊者轉走 200,967 枚 Tether (USDT)、17,594 枚 USD Coin (USDC),以及少量 Wrapped Ether 和 Wrapped Bitcoin;BNB Chain 這邊則損失了 36,750 枚 USDT 和 24.386 枚 Wrapped BNB。同一個錢包還鑄造 了 1,376 萬枚沒有任何實際 ALPH 鎖定作為支撐的包裹 ALPH。
這批代幣超過橋此前的全部包裹供應量,讓攻擊者握有「憑空變出」的代幣。
延伸閱讀: Cardano Tops Every Major Chain In Stablecoin Growth, Up 61% In A Week
離鏈漏洞,而非被盜私鑰
早期說法將這次攻擊歸因於四把守護者私鑰中有三把遭到入侵,但 Alephium 其後表示,真正原因是橋樑後端的一個離鏈程式錯誤,Blockaid 也隨之修正最初的判讀。該專案運行的是 Wormhole 訊息系統的私有分支,只使用四個簽署者,因此相同漏洞可能也潛伏在其他基於類似程式碼構建的橋樑中。
這一原因變更,重塑了整起事件的定性。
Alephium 承諾向用戶賠償
Alephium 已暫停 橋樑運作,呼籲持有人從 ALPH 流動性池撤出資金,並承諾為代幣仍鎖在橋內的用戶提供資產恢復方案。隨著橋樑下線,攻擊者無法再把這批無支撐的包裹 ALPH 透過橋樑兌回,且在事件披露時,被盜資金仍停留在同一錢包內未被移動。團隊表示正評估一切選項,以儘量彌補受影響用戶損失,完整事後檢討報告預計於本週公布。
這起攻擊延續了跨鏈橋的艱難時期——這些橋樑是將資產在不同區塊鏈間搬運的關鍵基礎設施。
近期 Verus-Ethereum bridge 遭攻擊損失約 1,158 萬美元,而這次的偽造訊息手法,也讓人聯想到 Wormhole 數年前損失超過 3.2 億美元的事件。有統計估算 ,整個 5 月跨 DeFi 領域被盜的加密資產總額超過 5,200 萬美元。
接下來閱讀: ETH Loses Its Last Floor And Stares Down A Drop Toward $1,800