Alephium(ALPH)のTokenBridgeで、攻撃者がプロトコルのガーディアンネットワークを迂回し、偽造メッセージで不正なトークン移転を承認させる脆弱性を利用し、約81万5000ドルが流出した。
Alephiumチームは、ブロックチェーンセキュリティ企業Blockaidが最初にこの攻撃を検知したと発表した。さらに、Security AllianceのSEAL_911緊急対応部隊も調査過程で支援した。
わずか7分弱で81万5000ドル流出
攻撃者はイーサリアムとBNBチェーンの双方のAlephium TokenBridgeから、約7分間で資金を移動させた。イーサリアム側の損失は、テザー(USDT)20万967枚、USDコイン(USDC)1万7594枚、ラップドイーサ(WETH)5.18枚、ラップドビットコイン(WBTC)0.335枚に及ぶ。
さらにBNBチェーン側からUSDT3万6750枚とラップドBNB 24.386枚が流出した。攻撃者は裏付けのないラップドALPHを1376万枚ミントし、自身のウォレットへ送金した。
Alephiumはブリッジを停止し、被害を受けたユーザーへの補償を含めあらゆる選択肢を検討していると説明した。
今回の事件は、2026年におけるクロスチェーン基盤の課題をより深刻化させている。4月の暗号資産ハッキング被害額は6億600万ドルに達し、5月のDeFiハックも6月にかけて増加している。
CrossCurveブリッジの流出事件や、Hyperbridgeの被害(いずれも再集計で250万ドル)も今年の累計損失を押し上げている。
盗まれた鍵ではなく偽造メッセージ
Alephium TokenBridgeは、Wormholeプロトコルのフォーク上に構築されている。このプロトコルは、ガーディアンネットワークがクロスチェーンメッセージを検証する仕組みを採用する。いかなる送金にもガーディアンの定足数が署名する必要があり、偽のメッセージを混入させられることは重大な脆弱性となる。
当初の報道では、ガーディアンの秘密鍵流出が原因とされ、2026年初頭のGravity Bridge鍵流出事件(被害額540万ドル)との類似も指摘された。だが、Alephiumの事後報告はこの見解を否定している。
「今回の攻撃はガーディアンの秘密鍵流出によるものと見られない。むしろ、偽造された悪意あるイベント/メッセージがガーディアンによって観測・署名されたことに起因していると考えられる」とAlephiumは説明する。
この違いは重要である。鍵流出は運用上の失敗であり、偽造メッセージによる攻撃は、ブリッジがガーディアンに提示する前のデータ検証プロセスに欠陥があることを示している。
同様の事例はPolkadotブリッジでも発生し、攻撃者が取引を不正検証し、裏付けのないトークンをミントした。Alephiumは今後チームによる詳細な技術的検証報告を発表するとしている。
