استُنزف جسر التوكنز الخاص بـ ألفيوم (ALPH) من حوالي 815 000$ بعد أن استغل مهاجم ثغرة سمحت بتمرير رسائل مزورة عبر شبكة الحماية للبروتوكول وسمحت بعمليات تحويل توكنات احتيالية.
أكد فريق ألفيوم أن شركة أمان البلوكشين بلوكايد كانت الأولى في اكتشاف هذا الاستغلال. وقدمت وحدة الاستجابة للطوارئ SEAL_911 التابعة لتحالف الأمان المساعدة وفعالية الاستجابة طوال فترة التحقيق اللاحق.
استنزاف 815 000$ في أقل من 7 دقائق بفعل الاستغلال
حرك المهاجم الأموال من جسر توكنز ألفيوم على كل من إيثريوم وBNB تشين في حوالي سبع دقائق. على إيثريوم، فقدت المنصة 200 967 تيذر (USDT)، 17 594 يو اس دي كوين (USDC)، 5,18 وورابيد إيثير (WETH)، و0,335 وورابيد بيتكوين (WBTC).
تمت إزالة 36 750 USDT إضافية و24,386 وورابيد BNB من جانب BNB تشين للجسر. كما قام المهاجم بسك 13,76 مليون ALPH مغلفة غير مدعومة ونقلها مباشرة إلى محفظته.
أغلقت ألفيوم الجسر وذكرت أنها تبحث في جميع الخيارات لتعويض المستخدمين المتضررين بالكامل.
يضيف هذا الحادث إلى الصورة المتدهورة للبنية التحتية بين السلاسل في عام 2026. وصلت خسائر اختراق العملات الرقمية في أبريل إلى 606 مليون$، كما ارتفع إجمالي اختراقات التمويل اللامركزي في مايو مع بداية يونيو.
ساهم أيضاً استغلال جسر كروسكيرف و استغلال هايبر بريدج، وكلاهما تم تعديله إلى 2,5 مليون$، في إجمالي خسائر هذا العام.
رسائل مزورة وليست مفاتيح مسروقة
بنى المطورون جسر توكنز ألفيوم على نسخة مشتقة من بروتوكول وورمهول، والذي يعتمد على شبكة حراسة للتحقق من صحة الرسائل بين السلاسل. يتطلب أي تحويل توقيع مجموعة من الحراس، مما يجعل القدرة على حقن رسائل احتيالية ثغرة شديدة الخطورة.
رجعت التقارير الأولية سبب الاختراق إلى سرقة مفاتيح الحراس الخاصة، مع مقارنات بقضية اختراق مفاتيح جرافيتي بريدج التي تسببت في خسارة 5,4 مليون$ في وقت سابق من عام 2026. تحديث ألفيوم بعد الحادث يناقض هذا التصور.
قالت ألفيوم أن الاستغلال لا يبدو أنه تضمن اختراق مفاتيح الحراسة الخاصة. بدلاً من ذلك، يبدو أنه تضمن ثغرة سمحت بمراقبة وتوقيع الحراس على أحداث/رسائل ضارة مزورة. ألفيوم
اشرح أن التمييز مهم. يشير وجود نقطة ضعف رئيسية إلى فشل تشغيلي، بينما يوضح هجوم الرسائل المزورة وجود خلل في طريقة تحقق الجسر من البيانات الواردة قبل عرضها على الحراس.
أوضح أنه ظهرت ديناميكية مشابهة في استغلال جسر بولكادوت، حيث قام المهاجم بالتحقق الاحتيالي من المعاملات وسك عملات غير مدعومة. ذكرت أليفيم أن تقريراً فنياً كاملاً من فريقها سيصدر قريباً.
