TokenBridge ของ Alephium (ALPH) ถูกดูดเงินออกไปประมาณ 815,000 USD หลังจากผู้โจมตีใช้ช่องโหว่ที่ทำให้สามารถส่งข้อความปลอมผ่านเครือข่าย guardian ของโปรโตคอลและอนุมัติการโอนเหรียญที่เป็นการฉ้อโกงได้
ทีมของ Alephium ยืนยันว่า บริษัทความปลอดภัยบล็อกเชน Blockaid เป็นผู้ตรวจพบช่องโหว่นี้เป็นรายแรก ทั้งนี้หน่วยตอบสนองฉุกเฉิน SEAL_911 ของ The Security Alliance ก็ได้ให้ความช่วยเหลือและตอบสนองระหว่างการสืบสวนหลังเกิดเหตุการณ์ดังกล่าวด้วย
ช่องโหว่ดูดเงิน 815,000 USD ออกไปภายในไม่ถึง 7 นาที
ผู้โจมตีย้ายเงินออกจาก Alephium TokenBridge บนทั้ง Ethereum และ BNB Chain ภายในเวลาประมาณเจ็ดนาที ทางฝั่ง Ethereum มีเหรียญที่สูญหายได้แก่ 200,967 Tether (USDT), 17,594 USD Coin (USDC), 5.18 Wrapped Ether (WETH) และ 0.335 Wrapped Bitcoin (WBTC)
ส่วนฝั่ง BNB Chain มีเหรียญ USDT อีก 36,750 USD และ Wrapped BNB 24.386 ที่ถูกนำออกไปด้วย ผู้โจมตียังได้สร้างเหรียญ wrapped ALPH ไม่มีหลักประกัน จำนวน 13.76 ล้านเหรียญ และโอนตรงเข้ากระเป๋าเงินของตนเองอีกด้วย
Alephium ได้ปิดการทำงานของ bridge ทันที และระบุว่ากำลังหาทางออกทุกวิถีทางเพื่อชดเชยผู้ใช้ที่ได้รับผลกระทบให้ครบถ้วน
เหตุการณ์นี้ยิ่งทำให้สถานการณ์โครงสร้างพื้นฐาน cross-chain ในปี 2026 ย่ำแย่ลง โดย มูลค่าความเสียหายจากการแฮ็กคริปโตเดือนเมษายน ทะลุ 606 ล้าน USD และ สถิติการแฮ็ก DeFi ในเดือนพฤษภาคม ก็ยังคงเพิ่มสูงขึ้นเรื่อยๆ ต่อไปจนเข้าสู่เดือนมิถุนายน
ขณะเดียวกัน การแฮ็ก CrossCurve bridge และ การแฮ็ก Hyperbridge ทั้งคู่ ที่มีการปรับยอดความเสียหายเป็น 2.5 ล้าน USD ก็ยิ่งเพิ่มมูลค่าความเสียหายโดยรวมของปีนี้อีกด้วย
ข้อความปลอม ไม่ใช่กุญแจที่ถูกขโมย
นักพัฒนาได้สร้าง Alephium TokenBridge จากร่างแยกของโปรโตคอล Wormhole ซึ่งอาศัยเครือข่าย guardian ในการตรวจสอบข้อความข้าม chain การโอนทุกครั้งต้องได้รับการอนุมัติจาก guardian จำนวนหนึ่ง การสามารถส่งข้อความปลอมจะถือเป็นจุดอ่อนร้ายแรงต่อระบบ
รายงานเบื้องต้นมีการกล่าวว่าช่องโหว่นี้เกิดจากกุญแจส่วนตัว guardian ที่ถูกแฮ็ก ทำให้หลายคนเปรียบเทียบกรณีนี้กับ การแฮ็ก Gravity Bridge จากการโดนขโมยกุญแจ ที่ทำให้เสียหายไป 5.4 ล้าน USD ช่วงต้นปี 2026 อย่างไรก็ตาม การอัปเดตของ Alephium หลังเกิดเหตุการณ์นี้ได้ขัดแย้งกับรายงานข้างต้น
ช่องโหว่นี้ดูเหมือนไม่เกี่ยวกับการถูกขโมยกุญแจส่วนตัวของ guardian แต่เป็นช่องโหว่ที่เปิดทางให้สามารถปลอมข้อความหรือเหตุการณ์ที่เป็นอันตราย ซึ่ง guardian รับรู้และเซ็นอนุมัติได้เช่นกัน กล่าวโดย Alephium
ความแตกต่างนี้เป็นสิ่งสำคัญ เนื่องจากจุดประนีประนอมหลักนำไปสู่ความล้มเหลวในการทำงาน ขณะที่การโจมตีด้วยข้อความปลอมแสดงให้เห็นข้อบกพร่องในกระบวนการตรวจสอบข้อมูลขาเข้าของ bridge ก่อนจะนำเสนอแก่ guardian
นอกจากนี้ ยังมีสถานการณ์คล้ายกันเกิดขึ้นในกรณีการโจมตีสะพาน Polkadot ซึ่งผู้โจมตีได้ยืนยันธุรกรรมอย่างฉ้อฉลและทำการสร้างเหรียญที่ไม่มีสินทรัพย์รองรับขึ้นมา Alephium กล่าวว่าจะมีรายงานการตรวจสอบทางเทคนิคฉบับเต็มจากทีมในเร็ว ๆ นี้
