Alephium’s (ALPH) TokenBridge vừa bị tấn công và thất thoát khoảng 815,000 USD sau khi kẻ xấu lợi dụng lỗ hổng cho phép các thông điệp giả mạo vượt qua hệ thống guardian của giao thức và được ủy quyền để chuyển token lừa đảo.
Đội ngũ Alephium xác nhận rằng công ty bảo mật blockchain Blockaid là đơn vị đầu tiên phát hiện lỗ hổng này. Đội phản ứng khẩn cấp SEAL_911 từ Security Alliance cũng đã hỗ trợ và phản hồi kịp thời trong suốt quá trình điều tra.
Khai thác lỗ hổng khiến 815,000 USD bị rút chỉ trong 7 phút
Kẻ tấn công đã chuyển tiền từ Alephium TokenBridge trên cả Ethereum và BNB Chain chỉ trong khoảng bảy phút. Trên Ethereum, các khoản tiền bị lấy cắp bao gồm 200,967 Tether (USDT), 17,594 USD Coin (USDC), 5.18 Wrapped Ether (WETH), và 0.335 Wrapped Bitcoin (WBTC).
Thêm vào đó, 36,750 USDT và 24.386 Wrapped BNB bị rút khỏi phía BNB Chain của bridge. Kẻ tấn công cũng đã tự ý tạo ra 13.76 triệu wrapped ALPH chưa được đảm bảo và chuyển chúng trực tiếp về ví của mình.
Alephium đã tạm thời đóng bridge và cho biết đang xem xét mọi phương án để đảm bảo quyền lợi cho người dùng bị ảnh hưởng.
Vụ việc này tiếp tục làm trầm trọng thêm tình trạng bất ổn của các công nghệ kết nối chuỗi (cross-chain) trong năm 2026. Thiệt hại do các vụ hack crypto trong tháng 04/2026 đã đạt mức 606 triệu USD, và chỉ số các vụ hack DeFi trong tháng 05/2026 vẫn tiếp tục tăng khi bước sang tháng 06.
Một vụ tấn công CrossCurve bridge cùng với vụ tấn công Hyperbridge, cùng được cập nhật lên mức 2.5 triệu USD, cũng đã góp phần làm tăng tổng thiệt hại trong năm nay.
Thông điệp giả mạo, không phải lộ khóa
Các nhà phát triển xây dựng Alephium TokenBridge dựa trên một phiên bản fork của giao thức Wormhole, vốn sử dụng mạng lưới guardian để xác thực các thông điệp giữa các chuỗi. Để thực hiện chuyển khoản, cần có một nhóm guardian cùng xác nhận, nên việc có thể đưa được các thông điệp giả mạo vào hệ thống là một lỗ hổng rất nghiêm trọng.
Ban đầu, nhiều báo cáo cho rằng nguyên nhân là do các private key của guardian bị lộ, tương tự với vụ Gravity Bridge bị lộ khóa từng gây thiệt hại 5.4 triệu USD vào đầu năm 2026. Tuy nhiên, bản cập nhật sau sự cố của Alephium phủ nhận giả thuyết này.
“Vụ tấn công này dường như không liên quan đến việc rò rỉ private key của guardian. Thay vào đó, kẻ tấn công đã khai thác một lỗ hổng cho phép các sự kiện/thông điệp giả mạo được các guardian quan sát và ký nhận,” theo Alephium
Điểm khác biệt này rất quan trọng. Nếu một vụ tấn công xuất phát từ việc lộ khóa, đây là lỗi về vận hành; còn nếu do thông điệp giả mạo, điều này cho thấy vấn đề trong việc xác thực dữ liệu đầu vào của bridge trước khi trình lên guardian.
Tình huống tương tự từng xảy ra ở vụ tấn công Polkadot bridge, nơi hacker đã xác nhận giao dịch giả mạo và tự ý tạo ra token chưa được đảm bảo. Đại diện Alephium cho biết sẽ sớm có báo cáo kỹ thuật chi tiết về vụ việc này.
