Alephium-Token-Bridge für 815.000 $ ausgenutzt, während Hacker Millionen ungedeckter ALPH prägen

Hacker haben der Alephium Token Bridge auf Ethereum rund 815.000 US-Dollar entzogen. Sie prägten 13,76 Millionen Wrapped-ALPH-Token aus gefälschten Transaktionen und veranlassten das Projekt, Liquiditätsanbieter zu warnen, ihre Mittel sofort abzuziehen.

Dieser Exploit reiht sich in die wachsende Zahl von Bridge-Angriffen im Mai ein. Die Verus-Ethereum-Bridge verlor bei einem Angriff am 18.05. rund 11,5 Millionen US-Dollar, während Cryptopolitan zuvor am 30.05. berichtete, dass Gravity Bridge 5,4 Millionen US-Dollar verlor – am selben Tag, an dem Alephiums TokenBridge einen Exploit erlitt.

Was machte den Angriff erfolgreich?

Das Blockchain-Sicherheitsunternehmen Blockaid entdeckte den Exploit und berichtete, dass der Angreifer drei von vier Guardian-Schlüsseln kompromittierte, die die Bridge schützen. Nachdem er die Kontrolle über eine Unterzeichnungsmehrheit erlangt hatte, fälschte der Angreifer Verified Action Approvals (VAAs), die kryptografischen Nachrichten, die Cross-chain-Transfers autorisieren.

Laut Blockaid dauerte die gesamte Operation etwa sieben Minuten. Der Angreifer nutzte die gefälschten VAAs, um 13,76 Millionen Wrapped-ALPH zu prägen, was angeblich mehr als 100 % des bisherigen Wrapped-Angebots des Tokens entspricht. Weitere Vermögenswerte, darunter USDT, USDC, WBTC und WETH, wurden aus dem Custody-Vertrag der Bridge freigeschaltet.

On-Chain-Analyst Specter wies darauf hin, dass der Angriff sowohl die Ethereum- als auch die BNB-Chain-Bridge-Verträge traf. Specter erklärte, dass der Angreifer gestohlene Gelder von der BNB Chain zu Ethereum transferierte, und ein Teil davon wurde bereits in Tornado Cash eingezahlt, laut Specters auf X veröffentlichter Analyse.

Alephium bestreitet Kompromittierung der Guardian-Schlüssel 

Alephium hat jedoch weitere Updates veröffentlicht, die die Darstellung von Blockaid widersprechen, und erklärt: „Der Exploit wurde NICHT durch eine Kompromittierung der Guardian-Schlüssel verursacht, entgegen einiger früher externer Berichte." 

Laut dem Protokoll wurde der Exploit „durch eine Off-Chain-Schwachstelle im Bridge-Backend verursacht, die in bestimmten Randfällen ausgelöst werden konnte."

Alephium gab eine Aufschlüsselung der abgezogenen Gelder auf Ethereum und BNB, und erklärte, dass 200.967 USDT, 17.594 USDC, 5,18 WETH und 0,335 WBTC aus ersterem entnommen wurden, während 36.750 USDT und 24,386 WBNB aus BNB entnommen wurden.

Alephium fordert LPs zum Abzug auf

Alephium warnte auch alle, die Liquidität für ALPH-Pools auf Uniswap oder PancakeSwap bereitstellen.

In einem Follow-up-Update gab die Plattform eine umfassende Begründung, warum sie Nutzer zum Abzug von Liquidität aufforderte, und erklärte: „Da die Bridge abgeschaltet wurde, kann der Angreifer diese Wrapped-ALPH nicht über die Alephium-Bridge einlösen oder bridgen. Wir bitten die Nutzer daher, keine Liquidität für ALPH-Pools auf Ethereum oder der BNB Chain bereitzustellen, vorhandene Liquidität abzuziehen und keine Swaps gegen diese Pools durchzuführen", und fügte hinzu, dass „zusätzliche Liquidität oder Handelsaktivität die Fähigkeit des Angreifers erhöhen würde, Wert aus den nicht autorisierten Wrapped-ALPH zu realisieren."

ALPH wird derzeit bei 0,037 US-Dollar gehandelt mit einer Marktkapitalisierung von über 5 Millionen US-Dollar, während der gesamte gesperrte Wert (TVL) über Alephiums DeFi-Protokolle bei rund 756.000 US-Dollar lag und über 308.000 US-Dollar als überbrückter TVL vorhanden sind, laut DefiLlama-Daten.

Das Alephium-Team hat erklärt, dass es sich derzeit auf Wiederherstellungs- und Abhilfemaßnahmen konzentriert und versprach, in der kommenden Woche weitere Updates zu teilen.

Ein brutaler Monat für Bridges

Der Alephium-Exploit reiht sich in eine schwere Periode für Cross-chain-Infrastruktur ein. 

Der Gravity Bridge Hack, der ebenfalls am selben Tag gemeldet wurde, sah 5,4 Millionen US-Dollar durch das, was On-Chain-Analysten als Kompromittierung eines Vertragsschlüssels vermuten, abfließen, laut Cryptopolitans Bericht.

Etwa zwei Wochen zuvor verlor die Verus-Ethereum-Bridge 11,5 Millionen US-Dollar durch einen Verifikations-Bypass-Exploit, laut DefiLlamas Hacks-Datenbank. THORChain erlitt ebenfalls einen koordinierten Angriff in Höhe von 10 Millionen US-Dollar über Bitcoin, Ethereum, BNB Chain und Base am 15.05., wie von Cryptopolitan berichtet.

Cross-Chain Brücken haben in letzter Zeit verstärkte Angriffe von Angreifern erlebt und haben allein im Jahr 2026 bis Mitte Mai kollektiv über 326 Millionen US-Dollar verloren. 

Bridge-Protokolle machen 3,2 Milliarden US-Dollar der 16,6 Milliarden US-Dollar des insgesamt in der Krypto-Geschichte gehackten Wertes aus, laut DefiLlama – ein unverhältnismäßig großer Anteil angesichts der relativ geringen Anzahl von Bridge-Protokollen im Vergleich zu anderen DeFi-Kategorien.

Die anhaltende Anfälligkeit dieser Plattformen und die zunehmende Häufigkeit von Angriffen von April bis Mai haben das Muster schwer ignorierbar gemacht.

Lesen Sie keine Krypto-Nachrichten einfach nur. Verstehen Sie sie. Abonnieren Sie unseren Newsletter. Er ist kostenlos.