Alephium 跨鏈橋遭偽造 Guardian 訊息攻擊　損失約 81.5 萬美元

Alephium 團隊表示，該項目作為採用工作量證明（PoW）的 Layer 1，並運行 Wormhole 跨鏈橋的私人分叉版本，上周五因攻擊者向跨鏈橋後端注入偽造訊息，令其在另一端被包裝成看似合法的轉帳，導致以太坊及 BNB Chain 合共損失約 81.5 萬美元。項目方已即時關閉跨鏈橋，並指目前無法發起任何新交易。 按 Alephium 公布的核算數據，攻擊者在以太坊上盜走 200,967 枚 USDT、17,594 枚 USDC、5.18 枚 WETH 及 0.335 枚 WBTC；在 BNB Chain 上則盜走 36,750 枚 USDT 及 24.386 枚 WBNB。同時，攻擊者在以太坊上鑄造了 1,376 萬枚 wrapped ALPH，但 Alephium 鏈上並無對應的 ALPH 被鎖定作支撐。 區塊鏈安全公司 Blockaid 指，整個攻擊流程約 7 分鐘完成。Blockaid 最先發現漏洞後，亦通知 SEAL 911 緊急應變單位介入。 以 2026 年跨鏈橋頻繁受襲的背景衡量，今次損失金額不算突出。PeckShield 數據顯示，截至 5 月中旬，今年跨鏈橋累計損失約 3.29 億美元。市場更關注的是本次的攻擊機制。早期消息（包括 Blockaid）一度指向 guardian 私鑰被入侵，其後 Alephium 與 Blockaid 已更正說法。 Blockaid 在後續文章指出，此次事件「看起來並非 guardian 私鑰遭到攻破，而是存在可令惡意偽造事件／訊息被 guardian 觀察到並完成簽署的漏洞」。Alephium 事故後聲明亦將根因歸結為「跨鏈橋後端的鏈下漏洞，在特定邊界情境下可被觸發」，並排除智能合約缺陷及密鑰失竊。 兩者差異是關鍵：密鑰被盜屬操作安全失誤，等同某 guardian 託管方失去簽名設備控制；偽造事件則是連接鏈上合約與鏈下簽署流程之間的軟件層缺陷，令 guardians 在無察覺下對錯誤資料簽出有效簽名。事件中只要取得 6 份已簽署批准，就足以把跨鏈橋資金抽走。 Alephium 的分叉版本採用 4 名 guardian、3 票法定人數（quorum）。相比之下，Wormhole 主網採用 19 名 guardian、需 13 個簽名才可通過。在 guardian 數量較大的架構下，即使後端漏洞能向單一 guardian 投送偽造訊息，仍需再說服另外 12 人完成簽署；而在 4 人配置下，同類問題只需額外取得 2 份簽名即可達標，一旦鏈下訊息源出錯，風險會被迅速放大。 項目方稱，跨鏈橋合約內部持有的 ALPH 未被抽走，仍可回收；同時呼籲在以太坊及 BNB Chain 持有 ALPH 的用戶，立即從 Uniswap 及 PancakeSwap 的流動性池撤出資金。原因是攻擊者錢包仍持有 1,376 萬枚無支撐的 wrapped ALPH，任何現時的換幣活動都有機會讓其兌換成真實價值。 跨鏈橋今年持續成為 DeFi 重點攻擊目標。5 月 18 日，VerusEthereum 跨鏈橋因「背書驗證」缺陷損失 1,150 萬美元，屬同類型問題：欺詐訊息通過本應失敗的檢查；5 月 30 日，Gravity Bridge 被抽走 540 萬美元，初步懷疑涉及簽名密鑰被入侵。更早之前，CrossCurve 與 Hyperbridge 亦曾因偽造訊息及驗證器漏洞中招。風險點各異，但架構脆弱性反覆出現。 Alephium 表示，下周將公布對跨鏈橋內鎖倉 ALPH 用戶的回收安排，同步發布完整技術事後報告及補償方案細節。在此之前，跨鏈橋將維持離線。