تم إنفاق 815 ألف دولار في 7 دقائق – داخل استغلال Alephium TokenBridge الخاص بـ Ethereum
بعد مرور خمسة أشهر على عام 2026، تستمر الهجمات. اكتشفت شركة Blockaid، وهي شركة أمنية تعمل بتقنية blockchain، ثغرة جديدة تستهدف Alephium TokenBridge الخاص بـ Ethereum في 30 مايو.
وفقًا للتحقيق، تم استخدام ثلاثة من أصل أربعة مفاتيح حراسة مخترقة موقعة على VAAs (موافقات الإجراءات المعتمدة) المزورة لاستنزاف 815000 دولار في سبع دقائق.
كيف تم اختراق مفاتيح الوصي؟
للسياق، Alephium TokenBridge هو جسر يربط بين Ethereum وAlephium blockchain.
عندما يقوم المستخدمون بالتبديل من ألفيوم إلى إيثريوم [ETH]، يتم قفل ALPH الحقيقي على سلسلة واحدة. للمضي قدمًا، يتم استخدام إيثريوم لسك نسخة ملفوفة (wALPH).
قبل السماح لسك العملة بالمضي قدماً، أكد ثلاثة من حراس الجسر أن القفل قد تم بالفعل. بالإضافة إلى ذلك، للتحقق من عمليات النقل عبر السلسلة، يستخدم النظام توقيعات ولي الأمر.
لكي تتم الموافقة على رسالة النقل من قبل الجسر، يجب على ثلاثة من الأوصياء الأربعة التوقيع عليها. ومع ذلك، في هجوم Alephium TokenBridge، حصل المهاجمون بطريقة ما على المفاتيح الخاصة الثلاثة.
وبعد الحصول على تلك المفاتيح، قاموا بتلفيق رسائل جسر زائفة تُعرف باسم VAAs وجعلوها تبدو أصلية.
تطور "سك العملة".
بالإضافة إلى سك ALPH، أعطت VAAs المزورة للجسر تعليمات للإفراج عن الأصول التي تم القبض عليها بالفعل.
نتيجة لإقناع المهاجمين للجسر بوجود عمليات سحب صالحة، تم فتح Tether [USDT] وUSD Coin [USDC] وWrapped Bitcoin (WBTC) وWrapped Ether (WETH).
بدون إجراء إيداع ALPH حقيقي، حقق المهاجمون 13.76 مليون ALPH ملفوفًا. وفقًا لـ Blockaid، كان هذا أكثر من 100% من العرض المغلف المتاح مسبقًا.
بمعنى آخر، أنتج المهاجم بشكل أساسي كمية هائلة من الأصول المدعومة بـ ALPH من لا شيء.
هجمات مماثلة في الماضي
يشبه هذا استغلال Wormhole Bridge، حيث أنشأ المهاجمون أصولًا لم تكن مدعومة أبدًا بضمانات ورسائل جسر مزورة.
بالإضافة إلى ذلك، جاء ذلك في أعقاب الهجوم الأخير على جسر Verus-Ethereum، والذي استنزف ما يقرب من 11.58 مليون دولار.
الملخص النهائي
في هذا الهجوم، أدت ثلاثة من أصل أربعة مفاتيح حراسة مخترقة إلى استنزاف مبلغ 815000 دولار في سبع دقائق فقط.
قام المهاجمون بسك 13.76 مليون ALPH ملفوفة دون إيداع أي ALPH فعليًا.