Alephium($ALPH)TokenBridge 跨链桥遭遇安全漏洞,被攻击者利用协议守护者网络的验证漏洞,将伪造消息通过,实施恶意授权并转移约 81.5 万美元代币。
Alephium 团队已确认,区块链安全公司 Blockaid 第一时间发现了此次攻击。安全联盟(Security Alliance)旗下的 SEAL_911 应急响应小组也在后续调查中提供了及时协助和支持。
漏洞 7 分钟内造成 81.5 万美元损失
攻击者在短短约 7 分钟内,从以太坊和币安智能链两条链上的 Alephium TokenBridge 大量转移资金。在以太坊侧,损失包括 200,967 枚 Tether($USDT)、17,594 枚 USD Coin($USDC)、5.18 枚 Wrapped Ether($WETH)及 0.335 枚 Wrapped Bitcoin($WBTC)。
在 BNB Chain 侧,攻击者又提取了 36,750 枚 $USDT 和 24.386 枚 Wrapped BNB。此外,攻击者还直接铸造了 1,376 万枚无资产支持的包装版 $ALPH,并将其转入个人钱包。
Alephium 官方已紧急关闭跨链桥,并表示正在积极评估多种方案,争取尽最大努力补偿受影响用户的损失。
这一事件令 2026 年跨链基础设施安全问题再度雪上加霜。截至目前,仅 4 月份加密攻击损失已高达 6.06 亿美元,5 月份 DeFi 攻击事件的损失数字仍在不断攀升。
此外,CrossCurve 跨链桥漏洞以及 Hyperbridge 漏洞事件(两起合计损失达 250 万美元),也进一步推高了今年整体攻击损失规模。
伪造消息,非密钥泄露
Alephium TokenBridge 基于 Wormhole 协议分叉开发,依赖一组守护者网络共同验证跨链消息。每笔跨链操作需守护者达成法定签名共识,因此恶意伪造消息被签发会产生巨大风险敞口。
事件初期,部分报道曾将原因归咎于守护者私钥被盗,与 2026 年早些时候 Gravity Bridge 密钥事件(损失 540 万美元)相提并论。但 Alephium 官方后续说明并不支持该说法。
“此次攻击似乎并未涉及守护者私钥泄露。根据我们的分析,漏洞实际上在于攻击者能够让守护者网络观察并签发伪造且恶意的事件或消息。” —— Alephium 官方声明
这一点区别非常关键。前者通常是因为操作环节出现了致命漏洞,而伪造消息型攻击则反映出跨链桥在验证入站数据时存在缺陷,导致信息未被安全地传递给桥的守护节点。
类似的情况也曾出现在 Polkadot 跨链桥攻击事件中,攻击者通过伪造交易验证,非法铸造了无资产支撑的代币。Alephium 团队表示,将很快发布一份完整的技术复盘报告。
