Alephium跨链桥遭恶意伪造事件侵袭，多链资产面临非授权释放

近期，Alephium跨链桥系统遭遇严重安全事件，攻击者通过伪造链下消息流，诱使桥接守护者签署虚假转账指令，致使以太坊与BNB链上的资金被非法转移。据披露，此次攻击造成约81.5万美元的资产损失，且事件持续时间仅七分钟左右，暴露出跨链系统在链下验证环节中的深层脆弱性。

伪造事件绕过审批机制，引发封装代币无锚增发

攻击者利用桥接后端的链下漏洞，向守护者节点推送虚假的交易事件。尽管数据内容不实，但因签名流程未受阻，系统仍将其识别为有效请求。由此，攻击者在以太坊网络中成功铸造出1,376万枚未经真实ALPH锁定支撑的封装代币，形成显著的通货膨胀风险。

桥接功能紧急停摆，流动性撤离建议同步发布

事件发生后，Alephium迅速关闭了跨链桥的全部服务，以防止进一步损失。团队明确表示，在完成技术复盘、制定补偿方案及修复链下流程前，桥接将维持离线状态。同时，项目方呼吁以太坊与BNB链上的ALPH持有者尽快从Uniswap和PancakeSwap等去中心化交易所撤回流动性，避免无支持代币被套现。

多链资产流失明细与异常代币生成并行曝光

根据官方统计，攻击者在以太坊链上盗取了200,967枚USDT、17,594枚USDC、5.18枚WETH以及0.335枚WBTC；在BNB链上则窃得36,750枚USDT与24.386枚WBNB。此外，新增的1,376万枚封装ALPH超出原有供应量，构成系统性风险隐患，其价值完全依赖于市场信任而非底层资产背书。

密钥泄露假说被推翻，焦点转向链下操作层缺陷

最初有报告猜测四名桥接守护者中三把私钥可能外泄，但后续由Blockaid与Alephium联合澄清，事件并非源于密钥泄露或智能合约漏洞。调查确认问题根植于桥接后端的消息处理机制，即存在可被恶意利用的链下验证路径，使得虚假事件得以进入批准流程。

中间层失效致合法签名承载非法指令

攻击的核心在于链上合约与链下操作之间的接口层出现断裂。该层负责传递待审批事件至守护者，而系统未能对事件来源进行充分校验。即便签名有效，其所附数据却为伪造，最终导致资金释放逻辑被滥用，形成“合法签名+非法指令”的高危组合。

小规模守护者集体制约容错能力，设计争议再起

Alephium采用四人守护者机制，需三票通过方可执行操作。虽然该设计提升效率，但也降低了系统的抗干扰能力。一旦后端被注入错误数据，足以影响多数守护者判断，从而突破审批防线。此事件再次引发关于桥接治理结构是否应扩大法定人数的讨论。

年内多起桥接事故凸显共性风险点

2026年迄今，已有数起跨链桥攻击接连爆发。5月，Verus-Ethereum桥因验证逻辑缺陷损失逾1,150万美元；Gravity桥亦曝出疑似签名链路异常事件，涉资达540万美元。这些案例共同揭示：跨链生态高度依赖链下信令、中继系统与可信签名者，任一环节失守均可能导致跨链资产全面暴露。

恢复路径仍在评估，合约内资产未受波及

目前，桥接合约本身持有的原生ALPH资产尚未被窃取，具备可恢复基础。团队承诺将在完成全面审计后公布详细修复计划与用户补偿方案。由于本次攻击本质为链下漏洞利用，预计该事件将持续受到安全社区重点监控。

事件揭示链下缺陷远比密钥丢失更具隐蔽威胁

Alephium跨链桥攻击表明，即使私钥严格保密，若链下流程存在可被操控的入口，整个系统仍可能沦陷。攻击者通过伪造事件绕过核心审批机制，实现资产提取与代币增发双重获利。尽管损失金额小于部分历史案例，但其攻击手法揭示了当前跨链架构中不可忽视的深层隐患。

附录：关键术语解析

Alephium跨链桥：连接Alephium主链与以太坊的资产转移通道，支持封装代币流通。伪造消息：经签名但内容虚假的桥接请求，能误导系统判定为真实操作。封装ALPH：在原始资产被锁定后，于目标链发行的代币化版本。桥接守护者：负责审核并签署跨链交易的独立验证节点。链下漏洞：存在于智能合约之外、影响消息传递与审批逻辑的技术缺陷。SEAL 911：专注于加密资产应急响应的安全协作组织。BNB链：本次攻击中部分资产被盗的区块链平台。流动性资金池：DEX中用于交易的代币集合，易被恶意代币利用套利。

常见疑问解答

1. 此次攻击的本质是什么？系通过伪造链下事件，诱导守护者签署无效指令，导致跨链资金被非法释放。2. 总体损失金额如何？约为81.5万美元，涵盖多种稳定币与主流资产。3. 是否涉及私钥泄露？否，多方确认攻击与密钥无关。4. 受影响资产包括哪些？主要为USDT、USDC、WETH、WBTC、WBNB，另含大量无锚定的封装ALPH代币。