Tin nhắn cầu nối giả mạo khiến hacker rút 815.000 USD từ Alephium

📄Toàn văn bài viết· Được trích xuất tự động bởi trafilaturaGemini 翻譯2581 từ

TokenBridge của Alephium (ALPH) đã bị rút cạn khoảng 815.000 USD sau khi một kẻ tấn công khai thác lỗ hổng cho phép các tin nhắn giả mạo vượt qua mạng lưới giám sát của giao thức và ủy quyền cho các giao dịch chuyển token gian lận. Đội ngũ Alephium xác nhận rằng công ty bảo mật blockchain Blockaid là đơn vị đầu tiên phát hiện ra vụ khai thác. Đơn vị phản ứng khẩn cấp SEAL_911 của Security Alliance cũng đã hỗ trợ và phản hồi trong suốt quá trình điều tra sau đó. Vụ khai thác rút cạn 815.000 USD trong chưa đầy 7 phút Kẻ tấn công đã di chuyển tiền từ TokenBridge của Alephium trên cả Ethereum và BNB Chain trong khoảng bảy phút. Trên Ethereum, các khoản lỗ bao gồm 200.967 Tether (USDT), 17.594 USD Coin (USDC), 5,18 Wrapped Ether (WETH) và 0,335 Wrapped Bitcoin (WBTC). Thêm 36.750 USDT và 24,386 Wrapped BNB đã bị rút khỏi phía BNB Chain của cầu nối. Kẻ tấn công cũng đã đúc 13,76 triệu ALPH được bọc (wrapped) không có tài sản đảm bảo và chuyển trực tiếp chúng vào ví của mình. Alephium đã đóng cầu nối và tuyên bố rằng họ đang khám phá mọi phương án để bồi hoàn cho những người dùng bị ảnh hưởng. Sự cố này làm trầm trọng thêm bức tranh về cơ sở hạ tầng cross-chain trong năm 2026. Tổng thiệt hại do các vụ hack tiền điện tử trong tháng 4 đã đạt 606 triệu USD, và con số thiệt hại từ các vụ hack DeFi trong tháng 5 vẫn tiếp tục tăng khi bước sang tháng 6. Một vụ khai thác cầu nối CrossCurve và một vụ khai thác Hyperbridge, cả hai đều được điều chỉnh ở mức 2,5 triệu USD, cũng góp phần vào tổng thiệt hại của năm. Tin nhắn giả mạo, không phải khóa bị đánh cắp Các nhà phát triển đã xây dựng TokenBridge của Alephium trên một fork của giao thức Wormhole, vốn dựa vào mạng lưới giám sát để xác thực các tin nhắn cross-chain. Một số lượng giám sát viên cần thiết (quorum) phải ký xác nhận cho bất kỳ giao dịch chuyển tiền nào, khiến khả năng chèn các tin nhắn gian lận trở thành một lỗ hổng có tác động lớn. Các báo cáo ban đầu cho rằng vụ vi phạm là do các khóa cá nhân của giám sát viên bị xâm phạm, tương tự như vụ xâm phạm khóa Gravity Bridge gây thiệt hại 5,4 triệu USD vào đầu năm 2026. Bản cập nhật sau sự cố của Alephium đã bác bỏ nhận định đó. "Vụ khai thác dường như không liên quan đến việc xâm phạm khóa cá nhân của giám sát viên. Thay vào đó, nó dường như liên quan đến một lỗ hổng cho phép các sự kiện/tin nhắn độc hại giả mạo được các giám sát viên quan sát và ký xác nhận," Alephium cho biết. Sự khác biệt này rất quan trọng. Việc xâm phạm khóa chỉ ra một lỗi vận hành, trong khi một cuộc tấn công bằng tin nhắn giả mạo cho thấy lỗ hổng trong cách cầu nối xác thực dữ liệu đầu vào trước khi trình lên các giám sát viên. Một động thái tương tự đã xuất hiện trong vụ khai thác cầu nối Polkadot, nơi kẻ tấn công đã xác thực gian lận các giao dịch và đúc các token không có tài sản đảm bảo. Alephium cho biết một bản phân tích kỹ thuật đầy đủ từ đội ngũ của họ sẽ sớm được công bố.

Trạng thái dữ liệu✓ Đã trích xuất toàn vănĐọc bài gốc (BeInCrypto)

🔍Sự kiện tương tự trong lịch sử· Đối chiếu từ khóa + tài sản2 tin

2026-05-30

Gravity Bridge bị rút cạn 5,4 triệu USD khi hacker chuyển tiền đánh cắp qua Binance

Độ tương đồng 130%關鍵字 hacker/bridge

2026-04-28

Phân tích sự cố Litecoin: Lỗi MWEB cho phép kẻ tấn công làm giả 85.034 LTC pegout trước khi các nhà phát triển đóng băng quỹ

Độ tương đồng 100%關鍵字 fake/let

💡 Hiện đang sử dụng đối chiếu từ khóa + tài sản (MVP) · Sau này sẽ nâng cấp lên tìm kiếm ngữ nghĩa embedding

Thông tin gốc

ID：d829ee8eb8

Nguồn：BeInCrypto

Đăng：2026-05-31 10:42:24

Danh mục：Chung · Danh mục xuất neutral

Tài sản：Chưa chỉ định

Bình chọn cộng đồng：+0 / −0 · ⭐ 0 quan trọng · 💬 0 bình luận