アレフィウムのTokenBridge悪用、3つのガーディアンキー侵害後に81万5,000ドル流出

Alephiumは、ガーディアンキー侵害とする当初の見方に異議を唱え、81万5,000ドル規模のTokenBridge悪用は、EthereumとBNBチェーンで無許可のwrapped ALPHの発行と資産流出を可能にしたオフチェーンのバックエンド脆弱性に起因すると述べた。

ETH

USDT

BNB

28d ago

ファクトチェック

BlockaidのX投稿は、3-of-4のガーディアンキー侵害という見立てを含む、当初の$815Kのエクスプロイト事案の説明を確認している。Alephiumの公式X投稿とCryptoTimesは、Alephiumがガーディアンキー説に異議を唱え、代わりにブリッジのバックエンドにおけるオフチェーンの脆弱性が原因で、EthereumとBNBチェーンにまたがってwrapped ALPHの不正なミントと出金が可能になったと説明していることを確認しており、この主張と正確に一致する。Cryptopolitanは、この事案を巡る双方の説明を裏付けている。

要約

AlephiumのTokenBridgeは、攻撃者が偽造取引から13.76 millionのwrapped ALPHを発行し、EthereumとBNBチェーン全体で資産を流出させた後、約$815,000の被害を受けた。Blockaidは当初、4つのガーディアンキーのうち3つが侵害され、偽造VAAメッセージと約7分間の攻撃が可能になったと報告したが、Alephiumは後にこの説明に異議を唱え、特定のエッジケースで引き起こされるオフチェーンのバックエンド脆弱性が悪用の原因だったと述べた。Alephiumによると、盗まれた資産にはEthereum上の200,967 USDT、17,594 USDC、5.18 WETH、0.335 WBTCに加え、BNBチェーン上の36,750 USDTと24.386 WBNBが含まれる。プロジェクトはブリッジを停止し、流動性提供者に対してユニスワップとPancakeSwapのALPHプールから資金を引き出すよう警告するとともに、追加の流動性が攻撃者による無許可のwrapped ALPHの換金を助ける可能性があると述べた。

用語解説

VAA: ブリッジがネットワーク間の送金やその他のアクションを承認するために用いる、検証済みアクション承認、すなわち署名付きクロスチェーンメッセージ。
Wrapped ALPH: 別のブロックチェーン上で発行され、ブリッジを通じてロックまたは参照されたALPHを表す、ブリッジ版のALPH。
WBNB: Wrapped BNBのことで、BNBチェーン上のスマートコントラクトアプリケーションで使用されるBNBのトークン化版。