Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 291RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 282Bridge-Exploit

Alephium-TokenBridge-Exploit

Ein Angreifer reichte gefälschte Guardian-VAAs bei Alephiums Wormhole-Fork-TokenBridge ein und entwendete in rund sieben Minuten etwa 815.000 US-Dollar an Verwahrwerten von Ethereum und BNB Chain.

Datum
Opfer
Alephium
Chain(s)
AlephiumEthereumBNB Chain
Status
Mittel entwendet

Am 30. Mai 2026 wurde Alephiums Cross-Chain-TokenBridge — ein Fork von Wormhole — um etwa 815.000 US-Dollar erleichtert. Der Angreifer reichte gefälschte Verified Action Approvals (VAAs) ein, die der Guardian-Satz der Bridge als echt akzeptierte, und entsperrte so in rund sieben Minuten Verwahrreserven auf Ethereum und BNB Chain.

Was geschah

Alephiums Bridge betrieb einen Wormhole-Fork, der von nur vier Guardians gesichert wurde — weit weniger als Wormholes Mainnet-Satz aus 19 Guardians mit einem Quorum von 13 Signaturen. Die Sicherheitsfirma Blockaid berichtete, dass der Angreifer die Kontrolle über drei der vier Guardian-Schlüssel erlangte — genug, um sechs gefälschte VAAs zu signieren und completeTransfer am TokenBridge-Proxy aufzurufen. Diese Nachrichten wiesen den Vertrag an, Verwahrwerte freizugeben: auf Ethereum rund 200.967 USDT, 17.594 USDC, 5,18 WETH und 0,335 WBTC sowie 36.750 USDT und 24,386 WBNB auf der BNB-Chain-Seite. Der Angreifer prägte außerdem 13,76 Millionen ungedeckte wrapped ALPH (wALPH) direkt in die eigenen Wallets.

Folgen

Alephium stoppte die Bridge und warnte Liquiditätsanbieter, bis auf Weiteres abzuziehen. Am 2. Juni 2026 führten die verbleibenden Guardians eine autorisierte Wiederherstellung durch, die das in den Wallets des Angreifers gehaltene ungedeckte wALPH in einer einzigen Transaktion verbrannte und so dessen Verkauf verhinderte. Die rund 815.000 US-Dollar an echten Verwahrwerten wurden nicht zurückgeholt; das Team erklärte, es prüfe Optionen, um betroffene Nutzer zu entschädigen.

Warum es wichtig ist

Der Alephium-Vorfall ist ein Lehrbuchbeispiel für ein Guardian-Quorum-Versagen: Ein Wormhole-Fork erbt Wormholes Vertrauensmodell, aber nicht dessen Dezentralisierung, und vier Signierer sind ein kleines Ziel. Er erinnert an den ursprünglichen Wormhole-Signaturprüfungsfehler und das Muster gefälschter Nachrichten bei Nomad Bridge. Wie Gravity Bridge und die Syscoin-Bridge früher im Jahr 2026 zeigt er, dass Bridge-Sicherheit auf die Integrität der Off-Chain-Nachrichtenvalidierung zusammenfällt — kann ein Angreifer die Freigaben fälschen, denen eine Bridge vertraut, gibt der On-Chain-Code pflichtbewusst echte Werte heraus.

Quellen & On-Chain-Belege

  1. [01]alephium.orghttps://alephium.org/news/post/the-alephium-bridge-exploit-on-chain-report/
  2. [02]thedefiant.iohttps://thedefiant.io/news/hacks/alephium-bridge-815k-forged-guardian-messages
  3. [03]phemex.comhttps://phemex.com/news/article/alephium-tokenbridge-hacked-815000-in-assets-stolen-86934
  4. [04]cryptotimes.iohttps://www.cryptotimes.io/2026/05/30/alephium-bridge-exploited-for-815k-13-76m-unbacked-alph-minted/

Verwandte Einträge