Alephiums (ALPH) TokenBridge blev tømt for cirka $815.000, efter en angriber udnyttede en fejl, der tillod forfalskede beskeder at passere gennem protokollens guardian-netværk og give tilladelse til bedrageriske tokenoverførsler.
Alephium-holdet bekræftede, at blockchain sikkerhedsfirmaet Blockaid var de første til at opdage udnyttelsen. Security Alliance’s SEAL_911 beredskabsenhed hjalp også til og reagerede gennem hele den efterfølgende undersøgelse.
Udnyttelsen tømmer $815.000 på under 7 minutter
Angriberen flyttede midler fra Alephium TokenBridge på både Ethereum og BNB Chain på omtrent syv minutter. På Ethereum gik bl.a. 200.967 Tether (USDT), 17.594 USD Coin (USDC), 5,18 Wrapped Ether (WETH) og 0,335 Wrapped Bitcoin (WBTC) tabt.
Yderligere 36.750 USDT og 24,386 Wrapped BNB blev fjernet fra BNB Chain-siden af broen. Desuden minted angriberen 13,76 millioner ikke-understøttede wrapped ALPH og overførte dem direkte til egen wallet.
Alephium lukkede broen ned og udtalte, at man undersøger alle muligheder for at gøre tabte midler gode igen for de berørte brugere.
Hændelsen forværrer det i forvejen negative billede for globale infrastrukturer i 2026. Krypto-hacktabet i april nåede $606 millioner, og maj måneds DeFi hack-tal bliver ved med at stige ind i juni.
En CrossCurve bridge-udnyttelse og en Hyperbridge-udnyttelse – begge opjusteret til $2,5 millioner, bidrager også til årets samlede tab.
Forfalskede beskeder, ikke stjålne nøgler
Udviklerne har bygget Alephium TokenBridge på en fork af Wormhole-protokollen, som anvender et guardian-netværk til at validere globale beskeder. Et flertal af guardians skal underskrive hver overførsel, hvilket gør muligheden for at indsætte falske beskeder til en sårbarhed med stor effekt.
Første rapporter tilskrev bruddet kompromitterede private guardian-nøgler, hvilket skabte sammenligninger med Gravity Bridge-nøglebruddet, der kostede $5,4 mio. tidligere i 2026. Alephiums opdatering efter hændelsen afviser dog denne forklaring.
“Det ser ikke ud til, at kompromitterede guardian private nøgler har været involveret i udnyttelsen. I stedet drejer det sig om en fejl, hvor falske ondsindede begivenheder/beskeder blev observeret og underskrevet af guardians,” skrev Alephium
Forskellen er vigtig. Et nøglebrud peger på en operationel fejl, mens et angreb med falske beskeder indikerer en svaghed i, hvordan broen validerede indkommende data, før det blev sendt videre til guardians.
Tilsvarende så man i Polkadot bridge-udnyttelsen, hvor angriberen på svigagtig vis godkendte transaktioner og minted ikke-understøttede tokens. Alephium oplyser, at der snart kommer en teknisk gennemgang fra deres team.
