Nanakaw ng hacker ang nasa $815,000 mula sa TokenBridge ng Alephium (ALPH) matapos ma-exploit ang butas kung saan nakalusot ang fake messages papunta sa guardian network ng protocol, kaya na-approve ang mga bogus na token transfer.
Kumpirmado ng Alephium team na ang blockchain security firm na Blockaid ang unang naka-detect ng exploit na ito. Tumulong din ang SEAL_911 emergency response unit ng Security Alliance sa naging imbestigasyon.
Nanakaw ang $815,000 sa Loob ng Wala pang 7 Minuto
Inilipat ng attacker ang pera mula sa Alephium TokenBridge sa Ethereum at BNB Chain sa loob lang ng mga pitong minuto. Sa Ethereum, kasama sa losses ang 200,967 Tether (USDT), 17,594 USD Coin (USDC), 5.18 Wrapped Ether (WETH), at 0.335 Wrapped Bitcoin (WBTC).
May dagdag pang 36,750 USDT at 24.386 Wrapped BNB na nakuha mula sa BNB Chain side ng bridge. Nag-mint din ang attacker ng 13.76 million unbacked wrapped ALPH at dineposit mismo sa sarili nilang wallet.
Pinatigil ng Alephium ang operation ng bridge at sinabi nilang tinitingnan nila lahat ng possibility para maibalik ang nawala ng mga naapektadong users.
Palala nang palala ang sitwasyon para sa cross-chain infrastructure ngayong 2026. Umabot na sa $606 million ang total na losses sa crypto hacks ngayong April, at tuluy-tuloy pang tumataas ang hack incidents sa DeFi para sa May pagtungtong ng June.
Nagdagdag pa rito ang CrossCurve bridge exploit at Hyperbridge exploit na parehong nirevise ang losses sa $2.5 million ngayong taon.
Fake Messages, Hindi Ninakaw na Keys
Ginawa ng mga developer ang Alephium TokenBridge gamit ang fork ng Wormhole protocol, na may guardian network para mag-validate ng cross-chain messages. Kailangan mag-sign off ng guardian group sa kahit anong transfer, kaya kung mapapasok ng attacker ang fake message, matindi ang impact nito.
Sa simula, inisip ng marami na dahil daw sa hacked guardian private keys kaya nagkaroon ng incident—parang nangyari sa Gravity Bridge key hack na nagdulot ng $5.4 million in losses nitong 2026. Pero nilinaw ng Alephium na hindi ganoon ang nangyari ngayong insidente.
“Mukhang hindi ninakaw ang guardian private keys dito. Imbes, ang exploit ay nagbigay-daan para makalusot ang peke at malicious na events/messages na na-obserbahan at na-sign pa ng mga guardian,” ayon sa Alephium
Importante ito: Kapag key compromise, usually may problema sa pagpapatakbo ng system, pero kung fake messages naman ang pumasok, ibig sabihin may butas kung paano nina-validate ng bridge ang incoming data bago ito mapunta sa mga guardian.
Ganitong klase ng tactic ang ginamit din sa Polkadot bridge exploit, kung saan nakalusot din ang fake transaction at nag-mint sila ng unbacked tokens. Sabi ng Alephium, maglalabas sila ng buo at detalyadong technical report tungkol sa nangyari.
