Alephium-Bridge verliert 815.000 US-Dollar nach gefälschten Guardian-Messages

Alephium, eine Proof-of-Work-Layer-1, die eine private Fork der Wormhole-Bridge betreibt, hat am Freitag nach eigenen Angaben rund 815.000 US-Dollar auf Ethereum und der BNB Chain verloren. Ein Angreifer schleuste über das Backend der Bridge gefälschte Messages ein, die auf der Gegenseite wie legitime Transfers aussahen. Alephium hat die Bridge abgeschaltet; neue Transaktionen können nicht mehr initiiert werden. Nach der Abrechnung des Teams wurden auf Ethereum 200.967 USDT, 17.594 USDC, 5,18 WETH und 0,335 WBTC abgezogen. Auf der BNB Chain kamen 36.750 USDT und 24,386 WBNB hinzu. Zusätzlich prägte der Angreifer 13,76 Mio. Wrapped-ALPH auf Ethereum, ohne dass entsprechendes ALPH auf der Alephium-Chain gesperrt war. Die gesamte Sequenz dauerte laut dem Blockchain-Sicherheitsunternehmen Blockaid etwa sieben Minuten. Blockaid hatte den Exploit zuerst entdeckt und die Notfall-Einheit SEAL 911 eingeschaltet. Im Vergleich zu den Dimensionen der Bridge-Angriffe im Jahr 2026 fällt die Summe zwar klein aus: PeckShield beziffert die kumulierten Verluste bei Cross-Chain-Bridges bis Mitte Mai auf rund 329 Mio. US-Dollar. Entscheidend ist diesmal der Angriffsmechanismus. Frühe Berichte, auch von Blockaid, gingen zunächst von kompromittierten Guardian-Keys aus. Alephium und Blockaid haben diese Einschätzung inzwischen korrigiert. In einem Folgebeitrag schrieb Blockaid, der Vorfall scheine "nicht" auf einen Diebstahl privater Guardian-Schlüssel zurückzugehen. Stattdessen deute alles auf einen Exploit hin, der es ermöglichte, "gefälschte, bösartige Events/Messages" so zu erzeugen, dass sie von Guardians gesehen und signiert wurden. Alephium verortete die Ursache in einer "Off-Chain-Schwachstelle im Bridge-Backend, die in bestimmten Edge Cases ausgelöst werden konnte", und schloss sowohl einen Smart-Contract-Bug als auch einen Key-Compromise aus. Der Unterschied ist zentral: Ein gestohlener Schlüssel wäre ein operatives Sicherheitsproblem, etwa der Verlust der Kontrolle über ein Signing-Gerät. Ein gefälschtes Event deutet auf einen Fehler in der Software-Schicht zwischen On-Chain-Contracts und dem Off-Chain-Prozess hin, der den Guardians vorgibt, was zu signieren ist. Im Ergebnis wurden gültige Signaturen über falsche Daten erzeugt. Sechs signierte Freigaben reichten aus, um die Bridge zu leeren. Alephiums Fork arbeitet mit vier Guardians und einem Quorum von drei. Wormhole im Mainnet nutzt im Vergleich 19 Guardians und ein 13-Signaturen-Quorum. In einem größeren Set muss ein Backend-Fehler, der einem einzelnen Guardian eine gefälschte Message liefert, weitere zwölf Guardians überzeugen. In einem Vierer-Set reichen zwei zusätzliche. Sobald das Off-Chain-Feeding falsch ist, wird die Mathematik gnadenlos. ALPH-Bestände, die innerhalb der Bridge selbst lagen, wurden laut Team nicht abgezogen und seien wiederherstellbar. Alephium rief ALPH-Holder auf Ethereum und der BNB Chain dazu auf, Liquidität umgehend aus Uniswap- und PancakeSwap-Pools abzuziehen. Jeder Swap ermögliche es dem Angreifer, die weiterhin in der Exploiter-Wallet liegenden 13,76 Mio. ungedeckten Wrapped-ALPH in realen Wert zu konvertieren. Cross-Chain-Bridges gehören 2026 zu den meistattackierten Zielen in DeFi. Die Verus-Ethereum-Bridge verlor am 18. Mai 11,5 Mio. US-Dollar durch einen Fehler bei der Backing-Validierung, derselbe Bug-Typ, bei dem betrügerische Messages Prüfungen bestehen, die sie hätten scheitern lassen müssen. Die Gravity Bridge wurde am 30. Mai um 5,4 Mio. US-Dollar geleert, mutmaßlich durch kompromittierte Signing-Keys. CrossCurve und Hyperbridge fielen zuvor im Jahr Fabricated-Message- und Verifier-Bugs zum Opfer. Die konkreten Schwachstellen variieren, die Architektur selten. Alephium kündigte an, den Recovery-Prozess für Nutzer mit in der Bridge gesperrtem ALPH in der kommenden Woche zu veröffentlichen, zusammen mit einem vollständigen technischen Post-Mortem und Details zu einem Kompensationsplan. Bis dahin bleibt die Bridge offline.