黑客铸造数百万个无支持的 ALPH，Alephium 代币桥被利用价值 81.5 万美元

黑客已从以太坊上的 Alephium Token Bridge 盗取了约 815,000 美元。他们通过伪造的交易铸造了 1376 万个打包的 ALPH 代币，促使该项目警告流动性提供者立即撤回资金。

此漏洞使得 5 月份发生的桥梁攻击数量不断增加。 Verus-Ethereum 桥在 5 月 18 日的一次攻击中损失了约 1150 万美元，而 Cryptopolitan 于 5 月 30 日早些时候报道称，Gravity Bridge 损失了 540 万美元，同一天 Alephium 的 TokenBridge 也遭受了攻击。

是什么让攻击成功？

区块链安全公司 Blockaid 检测到了该漏洞，并报告称攻击者破坏了保护桥的四个监护密钥中的三个。在获得多数签名的控制权后，攻击者伪造了验证操作批准（VAA），即授权跨链传输的加密消息。

据 Blockaid 称，整个操作大约持续了七分钟。攻击者使用伪造的 VAA 铸造了 1376 万个打包的 ALPH，据报道，这超过了该代币之前打包供应量的 100%。其他资产，包括 $USDT、$USDC、WBTC 和 WETH，已从桥的托管合约中解锁。

链上分析师 Spectre 指出，此次攻击同时攻击了以太坊和 $BNB 链桥合约。 Spectre 表示，根据 X 上发布的 Spectre 分析，攻击者随后将窃取的资金从 $BNB Chain 转移到以太坊，其中一部分已经存入 Tornado Cash。

Alephium 否认监护人密钥泄露

然而，Alephium 提供了进一步的更新，对 Blockaid 的提交提出异议，并指出，“与一些早期的外部报告相反，该漏洞并不是由监护人密钥被泄露引起的。”

根据该协议，该漏洞是“由桥后端的链外漏洞引起的，该漏洞可能在特定的边缘情况下被触发”。

Alephium 详细列出了以太坊和 $BNB 上被耗尽的资金，表示从前者中提取了 200,967 $USDT、17,594 $USDC、5.18 WETH 和 0.335 WBTC，而从 $BNB 中提取了 36,750 $USDT 和 24.386 WBNB。

Alephium 要求 LP 退出

Alephium 还警告任何在 Uniswap 或 PancakeSwap 上向 ALPH 池提供流动性的人。

在后续更新中，该平台给出了要求用户提取流动性的全面原因，并表示，“由于桥已关闭，攻击者无法通过 Alephium 桥赎回或桥接这些被包装的 ALPH。因此，我们要求用户不要向以太坊或 $BNB 链上的 ALPH 池提供流动性，以提取任何现有流动性，并且不要与这些池进行交换。”并补充说，“额外的流动性或交易活动将增加攻击者从未经授权的被包装中变现价值的能力”阿尔法。”

ALPH 目前的交易价格为 0.037 美元，市值超过 500 万美元，而根据 DefiLlama 的数据，Alephium DeFi 协议的锁定总价值 (TVL) 约为 756,000 美元，桥接 TVL 超过 308,000 美元。Alephium 团队表示，他们目前正在专注于恢复和补救工作，并承诺在未来一周分享更多更新。

对于桥梁来说是残酷的一个月

Alephium 漏洞进一步加剧了跨链基础设施的惩罚性延伸。

根据 Cryptopolitan 的报道，同日还报道了重力桥黑客攻击事件，链上分析师怀疑这是合约密钥泄露，导致 540 万美元被盗走。

根据 DefiLlama 的黑客数据库，大约两周前，Verus-Ethereum 桥因验证绕过漏洞而损失了 1150 万美元。据 Cryptopolitan 报道，5 月 15 日，THORChain 还遭受了比特币、以太坊、BNB 链和 Base 上价值 1000 万美元的协同攻击。

最近，跨链桥受到不良行为者的攻击有所增加，截至 5 月中旬，仅 2026 年一年，跨链桥的损失就总计超过 3.26 亿美元。

DefiLlama 表示，在整个加密货币历史上被黑客攻击的总价值为 166 亿美元中，桥接协议占了 32 亿美元，考虑到与其他 DeFi 类别相比，桥接协议的数量相对较少，这一比例不成比例。

这些平台持续存在的漏洞以及从 4 月到 5 月不断增加的攻击频率使得这种模式难以被忽视。