Alephiums (ALPH) TokenBridge wurde um ungefähr 815.000 USD geleert, nachdem ein Angreifer eine Schwachstelle ausnutzte, die es erlaubte, gefälschte Nachrichten durch das Guardian-Netzwerk des Protokolls zu schleusen und betrügerische Token-Transfers zu autorisieren.
Das Alephium-Team bestätigte, dass das Blockchain-Sicherheitsunternehmen Blockaid als erstes den Exploit entdeckte. Die Notfalleinheit SEAL_911 der Security Alliance unterstützte und reagierte zudem im Verlauf der anschließenden Untersuchung.
Exploit leert 815.000 USD in unter 7 Minuten
Der Angreifer bewegte in ungefähr sieben Minuten Gelder von der Alephium TokenBridge sowohl auf Ethereum als auch auf BNB Chain. Auf Ethereum gingen unter anderem 200.967 Tether (USDT), 17.594 USD Coin (USDC), 5,18 Wrapped Ether (WETH) und 0,335 Wrapped Bitcoin (WBTC) verloren.
Zusätzlich wurden 36.750 USDT und 24,386 Wrapped BNB von der BNB Chain-Seite der Bridge abgezogen. Der Angreifer prägte außerdem 13,76 Millionen nicht gedeckte Wrapped ALPH und transferierte sie direkt an seine Wallet.
Alephium schaltete die Bridge ab und gab an, aktuell alle Möglichkeiten zu prüfen, um betroffene Nutzer vollständig zu entschädigen.
Der Vorfall verschärft das Bild für Cross-Chain-Infrastrukturen in 2026 weiter. Im April erreichten die Krypto-Hackverluste 606 Millionen USD, und die Summe der Hacks im DeFi-Bereich im Mai steigt zum Juni weiterhin an.
Ein CrossCurve Bridge Exploit sowie ein Hyperbridge Exploit, beide nachträglich auf 2,5 Millionen USD angepasst, tragen ebenfalls zur Jahressumme bei.
Gefälschte Nachrichten, keine gestohlenen Schlüssel
Entwickler bauten die Alephium TokenBridge auf einer Abspaltung des Wormhole-Protokolls auf, das für die Validierung von Cross-Chain-Nachrichten auf ein Guardian-Netzwerk setzt. Ein Quorum an Guardians muss jede Übertragung abzeichnen, daher bedeutet die Möglichkeit, gefälschte Nachrichten einzuschleusen, eine massive Schwachstelle.
Erste Berichte schrieben den Vorfall kompromittierten privaten Guardian-Schlüsseln zu und zogen Parallelen zum Gravity Bridge Key Compromise, bei dem Anfang 2026 Verluste von 5,4 Millionen USD entstanden. Die Stellungnahme nach dem Vorfall von Alephium steht jedoch im Widerspruch zu dieser Darstellung.
„Der Exploit scheint nicht mit kompromittierten privaten Guardian-Schlüsseln zusammenzuhängen. Stattdessen sieht es so aus, als sei eine Schwachstelle genutzt worden, die es erlaubte, gefälschte schädliche Ereignisse/Nachrichten einzuschleusen, die von den Guardians beobachtet und unterzeichnet wurden”, heißt es von Alephium
Dieser Unterschied ist entscheidend. Ein Kompromittieren von Schlüsseln weist auf einen operativen Fehler hin, wohingegen bei einem Angriff mit gefälschten Nachrichten ein Fehler bei der Validierung eingehender Daten vor der Vorlage an die Guardians vorlag.
Eine ähnliche Dynamik zeigte sich beim Polkadot-Bridge-Exploit: Dort wurden Transaktionen gefälscht validiert und nicht gedeckte Token erzeugt. Laut Alephium folgt noch ein vollständiger technischer Bericht des Teams.
