Pesan Bridge Palsu Memungkinkan Peretas Menguras $815.000 dari Alephium

📄Artikel lengkap· Diambil secara otomatis oleh trafilaturaGemini 翻譯2581 kata

TokenBridge milik Alephium (ALPH) terkuras sekitar $815.000 setelah penyerang mengeksploitasi celah yang memungkinkan pesan palsu lolos melalui jaringan guardian protokol dan mengotorisasi transfer token penipuan. Tim Alephium mengonfirmasi bahwa firma keamanan blockchain Blockaid adalah yang pertama mendeteksi eksploitasi tersebut. Unit tanggap darurat SEAL_911 dari Security Alliance juga memberikan bantuan dan respons selama investigasi selanjutnya. Eksploitasi Menguras $815.000 dalam Kurang dari 7 Menit Penyerang memindahkan dana dari Alephium TokenBridge di Ethereum dan BNB Chain dalam waktu sekitar tujuh menit. Di Ethereum, kerugian mencakup 200.967 Tether (USDT), 17.594 USD Coin (USDC), 5,18 Wrapped Ether (WETH), dan 0,335 Wrapped Bitcoin (WBTC). Sebanyak 36.750 USDT tambahan dan 24,386 Wrapped BNB ditarik dari sisi BNB Chain pada jembatan tersebut. Penyerang juga mencetak 13,76 juta wrapped ALPH tanpa jaminan dan mentransfernya langsung ke dompet mereka. Alephium menutup jembatan tersebut dan menyatakan sedang menjajaki semua opsi untuk mengganti kerugian pengguna yang terdampak. Insiden ini menambah gambaran yang memburuk bagi infrastruktur lintas rantai (cross-chain) pada tahun 2026. Kerugian peretasan kripto bulan April mencapai $606 juta, dan jumlah peretasan DeFi bulan Mei terus meningkat menjelang bulan Juni. Eksploitasi jembatan CrossCurve dan eksploitasi Hyperbridge, yang keduanya direvisi menjadi $2,5 juta, juga berkontribusi pada total tahun ini. Pesan Palsu, Bukan Kunci yang Dicuri Pengembang membangun Alephium TokenBridge di atas fork protokol Wormhole, yang mengandalkan jaringan guardian untuk memvalidasi pesan lintas rantai. Kuorum guardian harus menyetujui setiap transfer, sehingga kemampuan untuk menyuntikkan pesan penipuan menjadi kerentanan dengan dampak tinggi. Laporan awal mengaitkan pelanggaran tersebut dengan kompromi kunci pribadi guardian, yang membandingkannya dengan kompromi kunci Gravity Bridge yang menelan biaya $5,4 juta pada awal tahun 2026. Pembaruan pasca-insiden dari Alephium membantah kerangka tersebut. “Eksploitasi tersebut tampaknya tidak melibatkan kompromi kunci pribadi guardian. Sebaliknya, tampaknya melibatkan eksploitasi yang memungkinkan peristiwa/pesan berbahaya yang dipalsukan untuk diamati dan ditandatangani oleh para guardian,” kata Alephium. Perbedaan ini penting. Kompromi kunci menunjukkan kegagalan operasional, sementara serangan pesan palsu menunjukkan kelemahan dalam cara jembatan memvalidasi data masuk sebelum menyajikannya kepada para guardian. Dinamika serupa muncul dalam eksploitasi jembatan Polkadot, di mana penyerang memvalidasi transaksi secara curang dan mencetak token tanpa jaminan. Alephium mengatakan bahwa postmortem teknis lengkap dari timnya akan segera dirilis.

Status data✓ Teks lengkap telah diambilBaca artikel asli (BeInCrypto)

🔍Peristiwa serupa dalam sejarah· Pencocokan kata kunci + aset2 berita

2026-05-30

Gravity Bridge Dikuras Sebesar $5,4 Juta saat Peretas Mengalirkan Dana Curian Melalui Binance

Tingkat kemiripan 130%關鍵字 hacker/bridge

2026-04-28

Postmortem Litecoin: Bug MWEB Memungkinkan Penyerang Memalsukan 85.034 LTC Pegout Sebelum Pengembang Membekukan Dana

Tingkat kemiripan 100%關鍵字 fake/let

💡 Saat ini menggunakan pencocokan kata kunci + aset (MVP) · Akan ditingkatkan ke pencarian semantik embedding di masa mendatang

Informasi mentah

ID:d829ee8eb8

Sumber:BeInCrypto

Diterbitkan:2026-05-31 10:42:24

Kategori:Umum · Kategori ekspor neutral

Aset:Tidak ditentukan

Voting komunitas:+0 / −0 · ⭐ 0 Penting · 💬 0 Komentar