自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
20.00% 80.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

黑客借虚假桥接消息盗取815美元:报告称

2026-05-31 23:52:11
收藏

黑客利用伪造跨链消息盗取资金

据相关报告披露,一名黑客通过伪造跨链消息从Alephium桥接协议中提取了约81.5万美元资产。此次事件暴露出跨链消息基础设施中持续存在的安全漏洞——虚假验证数据可能诱使协议在缺乏真实资产支撑的情况下释放资金。

攻击手法分析

攻击者通过向Alephium跨链桥接合约提交伪造的消息,使其被误判为合法的跨链转移确认。根据技术报告显示,这些伪造信息使得攻击者能够从目标链提取从未在源链实际质押的资产。尽管81.5万美元的损失按DeFi标准衡量规模相对较小,但该攻击模式揭示了桥接基础设施中可被重复利用的安全隐患。事发后,Alephium团队已发布关于桥接合约与代币列表验证的技术指引。

关键信息摘要

攻击方式:提交伪造跨链消息欺骗协议
报告损失:约81.5万美元
核心警示:跨链消息验证仍是DeFi基础设施的关键薄弱环节

伪造消息的运作原理

跨链消息本质是记录区块链间状态变更的数据包。当用户在A链存入代币时,桥接协议会生成确认消息,以便目标链释放对应资产。若攻击者能够伪造该确认消息,目标链合约将误判资产已到位并释放资金。这种攻击概念类似于中心化系统中验证延迟导致的资金失衡——攻击者获得无实际资产支撑的真实代币。

此类漏洞通常源于两个层面:协议级漏洞指桥接智能合约未能有效验证消息真实性,使伪造证明得以通过;社会工程攻击则诱使用户与生成虚假确认的欺诈界面交互。从现有信息判断,本次事件属于协议级验证缺失导致的直接攻击,而非用户端欺诈。

对DeFi用户的启示

历史数据显示,桥接攻击始终是DeFi领域主要损失来源之一。虽然本次事件损失规模远小于过往数十亿美元的桥接攻击案例,但伪造跨链消息这一攻击手法暴露出影响众多协议的共性漏洞。该事件警示我们:跨链交互完全依赖于验证机制的完整性,一旦验证失效,资金将在未经合法授权的情况下发生转移。

当前加密货币市场虽因山寨币剧烈波动与比特币价格修正等事件吸引关注,但基础设施层面的安全始终是DeFi可靠性的基石。用户在使用跨链桥接时应确认使用官方界面,独立验证目标地址,并核查协议近期安全审计报告。对于项目方而言,此次事件凸显了强化消息认证机制、实施多签验证体系及实时监控异常提款模式的重要性。

展开阅读全文
更多新闻