TokenBridge milik Alephium (ALPH) terkuras sekitar US$815.000 setelah seorang penyerang memanfaatkan celah yang memungkinkan pesan palsu lolos melewati jaringan guardian protocol dan mengotorisasi transfer token secara curang.
Tim Alephium mengonfirmasi bahwa perusahaan keamanan blockchain Blockaid menjadi pihak pertama yang mendeteksi eksploitasi ini. Unit tanggap darurat SEAL_911 dari Security Alliance juga memberikan bantuan dan sigap selama proses investigasi berlangsung.
Eksploitasi Kuras US$815.000 dalam Waktu Kurang dari 7 Menit
Penyerang berhasil memindahkan dana dari Alephium TokenBridge baik di Ethereum maupun BNB Chain hanya dalam sekitar tujuh menit. Di Ethereum, kerugian meliputi 200.967 Tether (USDT), 17.594 USD Coin (USDC), 5,18 Wrapped Ether (WETH), dan 0,335 Wrapped Bitcoin (WBTC).
Selain itu, terdapat 36.750 USDT dan 24,386 Wrapped BNB yang turut diambil dari sisi BNB Chain pada bridge tersebut. Pelaku juga mencetak 13,76 juta wrapped ALPH yang tidak didukung aset dan langsung mentransfernya ke wallet mereka.
Alephium menutup sementara bridge ini dan mengatakan sedang menjajaki semua opsi agar pengguna yang terdampak bisa pulih kembali.
Insiden ini memperburuk kondisi infrastruktur lintas chain pada tahun 2026. Kerugian akibat peretasan aset kripto di bulan April mencapai US$606 juta, dan catatan peretasan DeFi bulan Mei juga terus bertambah menjelang bulan Juni.
Eksploitasi bridge CrossCurve dan eksploitasi Hyperbridge, keduanya telah direvisi mencapai US$2,5 juta, turut menambah total kerugian sepanjang tahun ini.
Pesan Palsu, Bukan Kunci yang Dicuri
Pengembang membangun Alephium TokenBridge di atas fork dari protokol Wormhole, yang mengandalkan jaringan guardian untuk memvalidasi pesan lintas chain. Agar transfer bisa terjadi, sejumlah guardian harus menyetujui transaksi, sehingga jika ada pesan curang yang bisa disisipkan, celah ini sangat berbahaya.
Laporan awal mengira pelanggaran ini akibat kunci privat guardian yang berhasil dikompromikan, sehingga membandingkan insiden ini dengan kompromi kunci Gravity Bridge yang menyebabkan kerugian US$5,4 juta di awal tahun 2026. Update pasca insiden dari Alephium menegaskan sebaliknya.
“Eksploitasi ini sepertinya tidak melibatkan kompromi kunci privat guardian. Sebaliknya, nampaknya eksploitasi terjadi karena adanya celah yang memungkinkan pesan atau kejadian jahat dapat dilihat dan ditandatangani oleh para guardian,” terang Alephium
Pembedaannya sangat penting. Jika kunci yang dikompromikan berarti ada kegagalan operasional, sementara serangan pesan palsu menunjukkan celah dalam proses validasi data pada bridge sebelum diserahkan kepada para guardian.
Dinamika serupa terjadi pada eksploitasi bridge Polkadot, di mana penyerang secara curang memvalidasi transaksi dan mencetak token yang tidak didukung aset. Alephium menyampaikan laporan teknis lengkap akan segera dirilis oleh tim mereka.
