资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Alephium跨链桥遭攻击,损失约81.5万美元
Alephium跨链桥攻击事件为本已处境艰难的跨链系统又添上一笔安全漏洞记录。Alephium表示,由于伪造消息流经桥接后端并被系统视为有效转账,其桥接合约在以太坊和BNB链上损失了约81.5万美元。安全公司Blockaid于5月30日首次检测到此次攻击,并通知了SEAL 911应急响应小组。据报道,整个事件持续了约七分钟。随后,Alephium关闭了桥接功能,并宣布无法发起新的交易。
攻击触发封装ALPH增发
攻击者从桥接关联资产中抽走了USDT、USDC、WETH、WBTC和WBNB。他们还在以太坊上增发了1,376万枚封装ALPH,而并未在Alephium链上锁定等额的ALPH。
此次受攻击的Alephium跨链桥系统连接着Alephium区块链与以太坊。在正常转账中,ALPH被锁定在一条链上,随后在桥接守护者批准后,在另一条链上铸造出封装版本代币。但在此次事件中,批准流程失效。攻击者通过后端推送了伪造的事件,守护者随后签署了在系统看来有效的消息,尽管其背后的数据是虚假的。
攻击后桥接服务下线
Alephium在事件后暂停了桥接服务。团队表示,在制定恢复计划、完成技术复盘并确定补偿细节期间,桥接将保持关闭状态。项目方还建议以太坊和BNB链上的ALPH持有者从Uniswap和PancakeSwap的资金池中撤出流动性。此警告至关重要,因为攻击者仍持有无实际资产支持的封装ALPH,任何活跃的市场流动性都可能帮助他们将这些代币转换为真实价值。
多链资产损失情况
根据Alephium统计,攻击者在以太坊上盗取了200,967枚USDT、17,594枚USDC、5.18枚WETH以及0.335枚WBTC。在BNB链上,被盗资产包括36,750枚USDT和24.386枚WBNB。此外,Alephium跨链桥攻击事件还在以太坊上铸造了1,376万枚封装ALPH,这些代币并无锁定的ALPH作为支撑。Blockaid指出,该数量超过了事件前已存在的封装ALPH供应量。
初步密钥泄露推测被修正
早期报告曾推测四名守护者私钥中可能有三把已泄露,但后续更新改变了这一看法。Blockaid表示,事件似乎不涉及守护者密钥被盗。Alephium也排除了智能合约漏洞和密钥泄露的可能性。团队转而将问题指向桥接后端的链下漏洞。这一发现改变了关注焦点:问题不仅仅是签名密钥丢失,而是一个允许虚假事件进入批准流程的系统缺陷。
实际失效环节
Alephium跨链桥攻击似乎始于链上合约与链下桥接操作之间的中间层。该层向守护者传递事件以获取批准。守护者提供了有效的签名,但这些签名所附加的数据是无效的。这意味着桥接系统将伪造的提款和铸造消息当作真实活动予以接受。此类失效非常危险,因为它使恶意指令看起来合法。一旦签名批准到达桥接,资金就会被释放。
四守护者模式引发质疑
Alephium桥接分叉采用了四名守护者的设计,转账需要其中三名的批准。这一设计构成了一个较小的法定人数。守护者集合较小可以加快处理速度,但也减少了容错空间。如果后端缺陷向足够多的守护者发送错误数据,系统仍可能批准该操作。Alephium跨链桥攻击事件再次引发了关于桥接法定人数设计的讨论。更大的守护者网络或许能降低此类风险,但也会增加复杂性。
类似桥接攻击加剧压力
此次事件之前,2026年已发生多起桥接失效事件。5月,Verus-Ethereum桥接因验证缺陷损失了约1,150万美元;Gravity桥在另一起疑似签名问题相关的案件中据报损失了540万美元。这些案例揭示了一个共同问题:跨链桥通常依赖链下验证、消息中继和可信签名者。如果该流程中的任一环节失效,多条链上的资产都可能面临风险。
恢复计划仍在制定中
Alephium表示,桥接合约内持有的ALPH未被盗取,仍可恢复。团队称将在完成审查后向受影响用户公布后续步骤。在此之前,桥接服务将保持离线。由于此次攻击涉及伪造后端事件而非简单的智能合约失效,Alephium跨链桥攻击事件很可能将持续受到安全团队的密切关注。
结论
Alephium跨链桥攻击事件表明,即使私钥保持安全,桥接系统仍可能失效。攻击者利用伪造的消息解锁资产并铸造无支持的封装ALPH。尽管损失金额小于近期一些桥接攻击,但其攻击手法值得关注。它揭示了链下后端缺陷如何可能使守护者批准环节成为系统弱点。对Alephium用户而言,下一步的关键更新将是恢复流程和完整的事件复盘报告。
附录:关键术语表
Alephium跨链桥:连接Alephium与以太坊并支持封装ALPH转账的跨链桥。
伪造消息:经守护者签署后看似有效的虚假桥接指令。
封装ALPH:在真实ALPH被锁定后,于其他区块链上铸造的代币化ALPH版本。
桥接守护者:在资产释放或铸造前批准跨链转账消息的验证者。
链下漏洞:智能合约层之外、影响桥接后端操作的缺陷。
SEAL 911:协助项目应对活跃攻击事件的加密安全应急响应组织。
BNB链:部分桥接关联资产被盗取的区块链网络。
流动性资金池:去中心化交易所上的交易池,攻击者可利用其转换被盗或无支持的代币。
关于Alephium跨链桥攻击的常见问题
1. Alephium跨链桥攻击是什么?
这是一次桥接攻击,伪造的后端消息被签署并被系统接受为有效转账。
2. 损失金额是多少?
Alephium报告在以太坊和BNB链上损失约81.5万美元。
3. 守护者密钥是否被盗?
Alephium和Blockaid后续表示攻击似乎不涉及私钥被盗。
4. 哪些资产受到影响?
被盗资产包括USDT、USDC、WETH、WBTC和WBNB。攻击者还铸造了无支持的封装ALPH。
