تم استغلال جسر Alephium المميز بمبلغ 815 ألف دولار حيث قام المتسللون بصك الملايين من ALPH غير المدعومة
استنزف المتسللون ما يقرب من 815000 دولار من Alephium Token Bridge على Ethereum. لقد قاموا بسك 13.76 مليون من رموز ALPH المغلفة من المعاملات المزورة، مما دفع المشروع إلى تحذير مزودي السيولة لسحب أموالهم على الفور.
يضيف هذا الاستغلال إلى العدد المتزايد من هجمات الجسور التي حدثت في شهر مايو. خسر جسر Verus-Ethereum حوالي 11.5 مليون دولار في هجوم يوم 18 مايو، بينما ذكرت Cryptopolitan في وقت سابق يوم 30 مايو أن Gravity Bridge خسر 5.4 مليون دولار، وهو نفس اليوم الذي تعرض فيه TokenBridge من Alephium لاستغلال.
ما الذي جعل الهجوم ناجحا؟
اكتشفت شركة Blockchain الأمنية Blockaid الاستغلال وأفادت أن المهاجم قام باختراق ثلاثة من أربعة مفاتيح حراسة تحمي الجسر. عند السيطرة على أغلبية التوقيع، قام المهاجم بتزوير موافقات الإجراءات التي تم التحقق منها (VAAs)، وهي رسائل التشفير التي تسمح بعمليات النقل عبر السلسلة.
وفقًا لـ Blockaid، استغرقت العملية بأكملها حوالي سبع دقائق. استخدم المهاجم خدمات VAA المزورة لسك 13.76 مليون ALPH ملفوف، وهو ما يُقال إنه أكثر من 100% من العرض المغلف مسبقًا للرمز المميز. تم فتح الأصول الإضافية، بما في ذلك $USDT و$USDC وWBTC وWETH، من عقد الوصاية الخاص بالجسر.
أشار المحلل على السلسلة سبكتر إلى أن الهجوم أصاب كلاً من عقود جسر Ethereum و$BNB Chain. وذكر سبيكتر أن المهاجم قام بعد ذلك بنقل الأموال المسروقة من سلسلة BNB بالدولار إلى إيثريوم، وقد تم بالفعل إيداع جزء منها في تورنادو كاش، وفقًا لتحليل سبيكتر المنشور على X.
Alephium ينفي التسوية الرئيسية للوصي
ومع ذلك، قدمت Alephium مزيدًا من التحديثات التي تتعارض مع ما قدمته Blockaid، قائلة: "لم يكن سبب الاستغلال هو اختراق مفاتيح الحارس، على عكس بعض التقارير الخارجية المبكرة."
وفقًا للبروتوكول، فإن الاستغلال "نتج عن ثغرة أمنية خارج السلسلة في الواجهة الخلفية للجسر والتي يمكن تشغيلها في حالات حافة محددة."
قدمت Alephium تفاصيل عن الأموال التي تم استنزافها عبر Ethereum و$BNB، مشيرةً إلى أنه تم أخذ 200,967 $USDT و17,594 $USDC و5.18 WETH و0.335 WBTC من الأول، بينما تم أخذ 36,750 $USDT و24.386 WBNB من $BNB.
Alephium يطلب من LPs الانسحاب
كما حذرت Alephium أي شخص يوفر السيولة لمجمعات ALPH على Uniswap أو PancakeSwap.
في تحديث لاحق، قدمت المنصة سببًا شاملاً لطلبها من المستخدمين سحب السيولة، قائلة: "نظرًا لإغلاق الجسر، لا يمكن للمهاجم استرداد أو سد هذه ALPH المغلفة مرة أخرى عبر جسر Alephium. لذلك نطلب من المستخدمين عدم توفير السيولة لمجمعات ALPH على Ethereum أو سلسلة BNB، وسحب أي سيولة موجودة، وعدم المقايضة بهذه المجمعات"، مضيفًا أن "السيولة الإضافية أو نشاط التداول من شأنه أن يزيد من قدرة المهاجم على أدرك القيمة من ALPH المغلف غير المصرح به.
يتم تداول ALPH حاليًا عند 0.037 دولار أمريكي مع قيمة سوقية تزيد عن 5 ملايين دولار أمريكي، في حين أن إجمالي القيمة المقفلة (TVL) عبر بروتوكولات التمويل اللامركزي الخاصة بـ Alephium تبلغ حوالي 756000 دولار أمريكي، ولها أكثر من 308000 دولار أمريكي كقيمة TVL الجسرية، وفقًا لبيانات DefiLlama. وقد صرح فريق Alephium أنهم يركزون حاليًا على جهود التعافي والمعالجة ووعدوا بمشاركة المزيد من التحديثات في الأسبوع المقبل.
شهر وحشي للجسور
يضيف استغلال Alephium إلى ما أصبح امتدادًا عقابيًا للبنية التحتية عبر السلسلة.
وشهد اختراق Gravity Bridge، الذي تم الإبلاغ عنه أيضًا في نفس اليوم، استنزاف ٥,٤ مليون دولار من خلال ما يشتبه المحللون على السلسلة في أنه حل وسط رئيسي للعقد، وفقًا لتقرير Cryptopolitan.
قبل حوالي أسبوعين، خسر جسر Verus-Ethereum 11.5 مليون دولار في عملية تجاوز للتحقق، وفقًا لقاعدة بيانات DefiLlama للاختراقات. عانت THORChain أيضًا من هجوم منسق بقيمة 10 ملايين دولار عبر Bitcoin وEthereum و$BNB Chain وBase في 15 مايو، وفقًا لما أوردته Cryptopolitan.
شهدت الجسور عبر السلاسل هجمات متزايدة من الجهات الفاعلة السيئة مؤخرًا، وخسرت بشكل جماعي أكثر من 326 مليون دولار في عام 2026 وحده اعتبارًا من منتصف مايو.
تمثل بروتوكولات Bridge 3.2 مليار دولار من إجمالي 16.6 مليار دولار من القيمة الإجمالية التي تم اختراقها عبر تاريخ العملات المشفرة، وفقًا لـ DefiLlama، وهي حصة غير متناسبة نظرًا للعدد الصغير نسبيًا من بروتوكولات Bridge مقارنة بفئات DeFi الأخرى.
إن الضعف المستمر لهذه المنصات والتكرار المتزايد للهجمات في الفترة من أبريل إلى مايو قد جعل من الصعب تجاهل هذا النمط.