以太坊 Alephium TokenBridge 遭入侵　7 分鐘損失 81.5 萬美元

2026 年剛過去五個月，鏈上攻擊仍未停歇。區塊鏈安全公司 Blockaid 指出，5 月 30 日發現針對以太坊 Alephium TokenBridge 的新型攻擊。調查顯示，橋接系統四把 guardian（守護者）金鑰中有三把遭入侵，攻擊者利用被盜私鑰簽署偽造的 VAA（Verified Action Approvals），在 7 分鐘內抽走 81.5 萬美元。 Alephium TokenBridge 連接以太坊與 Alephium 鏈。當用戶把資產由 Alephium 轉到以太坊時，真實 ALPH 會先在其中一條鏈上被鎖定，然後在以太坊鑄造對應的包裝資產 wALPH。為確認鎖倉確實發生，橋接設計要求 4 名 guardian 中至少 3 人簽名後，跨鏈訊息才會被接受。 本次事件中，攻擊者不明原因取得其中三名 guardian 的私鑰，隨後偽造看似有效的 VAA 來欺騙橋接合約放行交易。Blockaid 指出，這些偽造訊息不僅用於鑄造 ALPH 相關資產，亦向橋接發出指令，釋放原本已被鎖定的資產，令 Tether（USDT）、USD Coin（USDC）、Wrapped Bitcoin（WBTC）及 Wrapped Ether（WETH）被解鎖並被提走。 在沒有實際存入任何 ALPH 的情況下，攻擊者共鑄造 1,376 萬枚 wALPH。Blockaid 表示，該數量超過此前市場上流通的包裝供應量 100%，等同憑空製造大量宣稱由 ALPH 支撐的資產。 事件手法與過往 Wormhole Bridge 漏洞相似，均涉及偽造橋接訊息並生成缺乏抵押支持的資產。市場亦聯想到近期 VerusEthereum 橋接遭攻擊、損失約 1,158 萬美元的案例。 綜合而言，本次 Alephium TokenBridge 事件因 4 把 guardian 金鑰中有 3 把被攻破，導致 7 分鐘內損失 81.5 萬美元，並出現未存入 ALPH 卻鑄造 1,376 萬枚 wALPH 的異常情況。