फेक Bridge मैसेज के जरिए Hacker ने Alephium से $815,000 चुरा लिए

के द्वारा लिखा गया

Phil Haunhorst

के द्वारा edit किया गया

Mohammad Shahid

प्रकाशित:31 मई 2026, 11:42 UTC

Alephium का TokenBridge $815K गंवाया, हमलावर ने forged मैसेज से guardians को बनाया शिकार
Blockaid ने सबसे पहले exploit पकड़ा, जांच में SEAL_911 ने मदद की
ब्रिज बंद होने से पहले 13.76 मिलियन बिना बैकिंग के wrapped ALPH टोकन मिंट किए गए

Alephium के (ALPH) TokenBridge से करीब $815,000 निकाल लिए गए जब एक हमलावर ने उस खराबी का फायदा उठाया जिससे forged मैसेज प्रोटोकॉल के guardian नेटवर्क से पास हो सकते थे और फर्जी टोकन ट्रांसफर को अप्रूव किया जा सकता था।

Alephium टीम ने पुष्टि की कि ब्लॉकचेन सेक्योरिटी फर्म Blockaid ने सबसे पहले इस exploit का पता लगाया। Security Alliance की SEAL_911 इमरजेंसी रिस्पांस यूनिट ने भी पूरी जांच के दौरान सहयोग और responsiveness दिखाया।

$815,000 Exploit: सिर्फ 7 मिनट में आया $815,000 का नुकसान

हमलावर ने करीब सात मिनट में Alephium TokenBridge से फंड्स को Ethereum और BNB Chain दोनों से ट्रांसफर कर दिया। Ethereum पर, 200,967 Tether (USDT), 17,594 USD Coin (USDC), 5.18 Wrapped Ether (WETH), और 0.335 Wrapped Bitcoin (WBTC) का नुकसान हुआ।

इसके अलावा, 36,750 USDT और 24.386 Wrapped BNB भी BNB Chain साइड से हटा लिए गए। हमलावर ने 13.76 मिलियन बिना किसी वैल्यू के wrapped ALPH भी मिंट किए और उन्हें डायरेक्ट अपने वॉलेट में ट्रांसफर कर लिया।

Alephium ने इस ब्रिज को बंद कर दिया है और कहा है कि वह प्रभावित यूज़र्स की भरपाई के लिए हर विकल्प को देख रहा है।

A sincere thank you to the @blockaid_ team for being the first to detect the exploit and for their support throughout the investigation.

We would also like to thank the @SEAL_911 team for their assistance and responsiveness during the incident.

The collaboration and… https://t.co/pxEldVyl5Z
— Alephium (@alephium) May 30, 2026

यह घटना 2026 में क्रॉस-चेन इन्फ्रास्ट्रक्चर के लिए और चिंताजनक तस्वीर दिखा रही है। अप्रैल में हुए क्रिप्टो हैक नुकसान $606 मिलियन तक पहुंच गए हैं, और मई में DeFi हैक की संख्या भी जून की शुरुआत में और बढ़ती जा रही है।

एक CrossCurve ब्रिज एक्सप्लॉइट, और Hyperbridge एक्सप्लॉइट, दोनों का नुकसान $2.5 मिलियन बताया गया है, जिससे इस साल के टोटल में और इजाफा हुआ है।

Forged Messages, Not Stolen Keys: असली कारण क्या है?

Developers ने Alephium TokenBridge को Wormhole protocol के fork पर बनाया है, जो cross-chain मैसेज को वेरिफाई करने के लिए guardian नेटवर्क पर निर्भर करता है। किसी भी ट्रांसफर के लिए guardians का क्वोरम साइन करता है, ऐसे में फर्जी मैसेज डाल पाने की क्षमता बड़ी vulnerability बन जाती है।

शुरुआती रिपोर्ट्स में इस breach की वजह guardian private keys के compromise को बताया गया, और इसकी तुलना Gravity Bridge key compromise (2026 में $5.4 मिलियन का नुकसान) से की गई। लेकिन Alephium के पोस्ट-इंसिडेंट अपडेट में ये कुछ अलग बताया गया।

“ऐसा लगता है कि इस exploit में guardian private keys का compromise नहीं हुआ है। इसकी बजाय, exploit ने forged/malicious मैसेज create किए, जिन्हें guardians ने देखा और साइन कर दिया,” Alephium ने कहा। Alephium

यह अंतर महत्वपूर्ण है। एक मुख्य समझौता बिंदु ऑपरेशनल फेल्योर की ओर इशारा करता है, जबकि फर्जी मैसेज अटैक यह दिखाता है कि ब्रिज ने गार्डियंस को डेटा प्रस्तुत करने से पहले इनकमिंग डेटा को सही तरह से वेरिफाई नहीं किया।

ऐसा ही डाइनैमिक Polkadot ब्रिज एक्सप्लॉइट में भी देखने को मिला, जहाँ अटैकर ने लेन-देन को गलत तरीके से वेरिफाई किया और बिना समर्थन वाले टोकन्स मिंट कर दिए। Alephium ने कहा है कि उनकी टीम से जल्द ही एक पूरा टेक्निकल पोस्टमॉर्टम जारी होगा।

हमारी वेबसाइट पर सभी जानकारी अच्छे इरादे से और केवल सामान्य सूचना के उद्देश्य से प्रकाशित की जाती है, ताकि पाठक जागरूक रह सकें। हमारी वेबसाइट पर दी गई जानकारी के आधार पर पाठक द्वारा की गई प्रत्येक कार्रवाई पूरी तरह से उनके अपने जोखिम पर होती है। कृपया हमारी नियम और शर्तें, गोपनीयता नीति और अस्वीकरण पढ़ें।