偽ブリッジ通知でエイレフィウムから81万5000ドル流出

Alephium（ALPH）のTokenBridgeで、攻撃者がプロトコルのガーディアンネットワークを迂回し、偽造メッセージで不正なトークン移転を承認させる脆弱性を利用し、約81万5000ドルが流出した。

Alephiumチームは、ブロックチェーンセキュリティ企業Blockaidが最初にこの攻撃を検知したと発表した。さらに、Security AllianceのSEAL_911緊急対応部隊も調査過程で支援した。

わずか7分弱で81万5000ドル流出

攻撃者はイーサリアムとBNBチェーンの双方のAlephium TokenBridgeから、約7分間で資金を移動させた。イーサリアム側の損失は、テザー（USDT）20万967枚、USDコイン（USDC）1万7594枚、ラップドイーサ（WETH）5.18枚、ラップドビットコイン（WBTC）0.335枚に及ぶ。

さらにBNBチェーン側からUSDT3万6750枚とラップドBNB 24.386枚が流出した。攻撃者は裏付けのないラップドALPHを1376万枚ミントし、自身のウォレットへ送金した。

Alephiumはブリッジを停止し、被害を受けたユーザーへの補償を含めあらゆる選択肢を検討していると説明した。

今回の事件は、2026年におけるクロスチェーン基盤の課題をより深刻化させている。4月の暗号資産ハッキング被害額は6億600万ドルに達し、5月のDeFiハックも6月にかけて増加している。

CrossCurveブリッジの流出事件や、Hyperbridgeの被害（いずれも再集計で250万ドル）も今年の累計損失を押し上げている。

盗まれた鍵ではなく偽造メッセージ

Alephium TokenBridgeは、Wormholeプロトコルのフォーク上に構築されている。このプロトコルは、ガーディアンネットワークがクロスチェーンメッセージを検証する仕組みを採用する。いかなる送金にもガーディアンの定足数が署名する必要があり、偽のメッセージを混入させられることは重大な脆弱性となる。

当初の報道では、ガーディアンの秘密鍵流出が原因とされ、2026年初頭のGravity Bridge鍵流出事件（被害額540万ドル）との類似も指摘された。だが、Alephiumの事後報告はこの見解を否定している。

この違いは重要である。鍵流出は運用上の失敗であり、偽造メッセージによる攻撃は、ブリッジがガーディアンに提示する前のデータ検証プロセスに欠陥があることを示している。

同様の事例はPolkadotブリッジでも発生し、攻撃者が取引を不正検証し、裏付けのないトークンをミントした。Alephiumは今後チームによる詳細な技術的検証報告を発表するとしている。