Eksploitasi Jembatan Alephium: Laporan On-Chain

Setiap transaksi yang dieksekusi selama Alephium Bridge diserang pada tanggal 30 Mei dapat diverifikasi secara publik di blockchain. Kami ingin membagikan temuan ini kepada Anda, karena kami percaya transparansi yang lebih besar akan menyebabkan lebih banyak orang dapat mengawasi dan melacak dompet, sehingga meningkatkan peluang kami untuk menangkap penyerang. Semua alamat telah dilaporkan kepada pihak berwenang yang relevan.

Postingan ini merangkum seluruh rangkaian kejadian di satu tempat, untuk komunitas, untuk para peneliti, dan untuk arsip.

Harap dicatat: ini bukan laporan pasca-kejadian. Laporan tersebut akan dibagikan sesegera mungkin, dan akan menjadi uraian yang jauh lebih rinci tentang serangan tersebut, dampaknya, dan respons kami.

Memperoleh ALPH dan Menerapkan Kontrak Palsu

Untuk mengeksekusi eksploitasi tersebut, penyerang membutuhkan ALPH asli pada jaringan Alephium untuk menyebarkan kontrak yang satu-satunya tujuannya adalah untuk memancarkan pesan Wormhole palsu. Proses untuk mendapatkannya dimulai di jaringan Ethereum pada dini hari tanggal 30 Mei, jauh sebelum peristiwa drain.

1. Pada pukul 02:36:23 UTC, penyerang membeli 485,19 wALPH di Ethereum melalui Uniswap Universal Router, dengan menghabiskan 0,01 ETH.
2. Mereka segera menyetujui alokasi wALPH untuk kontrak TokenBridge, kemudian menjembatani seluruh jumlah tersebut ke dalam Alephium melalui transferTokens, membakar wALPH di Ethereum dan menetapkan Alephium sebagai rantai tujuan.
3. Di Alephium, bridge mencetak 485.19 ALPH ke alamat penerima penyerang.
4. ALPH tersebut kemudian diteruskan ke dompet pengembang kontrak melalui tiga transaksi terpisah:

• 5 ALPH pada pukul 03:52:06 UTC
• 150 ALPH pada pukul 06:23:13 UTC
• 130 ALPH pada 06:24:19 UTC.

Pada pukul 06:30:47 UTC, hampir tiga jam sebelum pengurasan utama, dompet penyebar telah mendanai dan menyebarkan kontrak peristiwa palsu dengan 0,1 ALPH. Kontrak tersebut berisi satu fungsi yang satu-satunya tujuannya adalah untuk mengeksekusi LOG7 dan memancarkan VAA palsu. Muatan VAA disediakan oleh skrip transaksi. Mekanisme inilah yang memberikan data palsu kepada penjaga sah jembatan, yang menandatangani VAA yang dihasilkan tanpa mengetahui bahwa peristiwa yang mendasarinya adalah rekayasa. VAA tersebut kemudian ditebus di jaringan Ethereum dan BSC untuk menguras jaminan nyata dan mencetak wALPH tanpa jaminan.

Saluran Pembuangan: 64 Detik

Antara pukul 07:00 dan 09:00 UTC, penyerang mengganggu konektivitas node bridge, memaksa backend untuk menggunakan jalur validasi cadangan.

Pada pukul 09:16:59 UTC, proses pengurasan dimulai.

Ethereum : Lima transaksi dalam 60 detik:

• 200.967,31 USDT — 09:16:59
• 0.33531483 WBTC — 09:17:23
• 17.594,63 USDC — 09:17:35
• 5.18192421 WETH — 09:17:47
• 13.757.076,37 wALPH dicetak — 09:17:59

BSC : Hanya tiga detik kemudian:

• 36.750,106 USDT — 09:18:02
• 24.38620961 WBNB — 09:18:03

Likuidasi: Ethereum

Stablecoin dan WBTC langsung dikonversi ke WETH melalui Uniswap X:

• 200.967,31 USDT → 99,685 WETH
• 0.33531483 WBTC → 12.209 WETH
• 17.594,63 USDC → 8.741 WETH

Sebanyak 400.000 wALPH dimasukkan ke dalam pool wALPH/ETH Uniswap V3 melalui empat transaksi: 1, 2, 3, 4.

Sebanyak 1.000.000 wALPH lainnya dikirim ke alamat parkir, yang menerima pendanaan gas, menyetujui Permit2, dan menjual 100.000 wALPH, sehingga tersisa 900.000 wALPH yang terparkir.

Likuidasi: BSC

USDT yang terkuras tersebut ditukar ke 54,676 WBNB melalui PancakeSwap, disetujui, lalu diurai kembali ke BNB.

Sebanyak 79,12517 BNB telah digabungkan dan ditransfer ke Ethereum melalui deBridge, dan tiba 13 detik kemudian sebagai 26,287 ETH.

Konsolidasi dan Tornado Cash

Aliran ETH dikonsolidasikan ke satu alamat tunggal melalui empat transaksi: 20 ETH, 36 ETH, 30 ETH, 40,88 ETH. 26 ETH dikembalikan ke penyerang: 1 ETH, 15 ETH, 10 ETH. 50 ETH disetorkan ke dalam Tornado Cash dalam lima transaksi: 1, 2, 3, 4, 5.

Pembaruan Pembakaran WALPH

Pada tanggal 2 Juni 2026, para penjaga jembatan, dengan dukungan dari mitra keamanan, telah melaksanakan prosedur pemulihan resmi untuk membatalkan Wrapped ALPH tanpa jaminan yang tersimpan di dompet penyerang.

Tindakan tata kelola tersebut juga memanggil fungsi peningkatan TokenBridge (upgrade(bytes encodedVM), ID metode 0x25394645), membakar pasokan wALPH yang tidak didukung dalam satu transaksi on-chain pada blok 25.230.400 (14:49:35 UTC).

Tindakan ini hanya berlaku untuk Wrapped ALPH tanpa jaminan yang dibuat melalui eksploitasi dan disimpan di dompet penyerang. Tindakan ini tidak memengaruhi ALPH asli, Wrapped ALPH yang didukung secara sah yang dimiliki oleh pengguna, atau alamat yang tanpa disadari memperoleh wALPH tanpa jaminan melalui aktivitas perdagangan sekunder. Aturan konsensus Alephium L1 tidak terpengaruh sama sekali.

Ringkasan yang dibakar

Dompet penyerang utama

0x6681ebC8…921d

12.357.077,37295

~$428.600

Parkir EOA

0x0baD8f95…509c

900.000.00000

~$31.200

Total

13.257.077,37295

~$459.800

Dari 13.757.077,37 wALPH yang dicetak melalui VAA palsu, 13.257.077,37 (96,4%) telah dibakar di jaringan blockchain. Sisa 500.000 wALPH keluar dari jendela respons sebelum jembatan dihentikan sementara dan dijual ke dalam Pool likuiditas Uniswap. Opsi pemulihan untuk bagian yang lolos tersebut masih dalam tinjauan aktif.

Lokasi Dana per 2 Juni 2026

Alamat dan Kepemilikan

Penyerang 0x6681…921d -3.7321 ETH · 12,357,077 wALPH (terbakar)

Konsolidasi 0xb80a…bfd4–100,88 ETH — tidak ada deposit CEX yang terdeteksi

Parkir 0x0bad…509c — 900.000 wALPH (terbakar) · 0,3964 ETH

Tornado Cash — 50 ETH campuran

Penyerang menyampaikan

Peran dan Alamat

Penyerang (ETH + BSC) 0x6681ebC82551fE52fDB48E65872e85a3ae06921d

Konsolidasi Penyerang EOA 0xb80a7d612480d121696be6dfe062f5e6d984bfd4

Penyerang wALPH parkir EOA 0x0baD8f95a996DeADe828d21DAd765b60c2b2509c

Kontrak kejadian palsu penyerang (log7) 24ZjqcvV8vVCn29zd1TThqAtaS8pMvJ4Co1MK5zncPcAB

Penyerang jembatan penerima dompet 3cUr7y3DuEkkYJj6G7tehG8R21XTMEGXWcUcsu7BxsaR2vKh5twVm

Penyerang: log7 contract deployer wallet 14etamDofb3XmupQyuFQN6c1szQYAduqxjzPq4YjwnPPv

Alamat penting lainnya

Peran dan Alamat

ETH TokenBridge (dikuras) 0x579a3bDE631c3d8068CbFE3dc45B0F14EC18dD43

BSC TokenBridge (dikuras) 0x2971F580C34d3D584e0342741c6a622f69424dD8

token WALPH / ALPH (ETH) 0x590f820444fa3638e022776752c5eef34e2f89a6

Tornado.Cash Router 0xd90e2f925DA726b50C4Ed8D0Fb90Ad053324F31b

Router Universal Uniswap 0x4C82D1fBFe28C977cBB58D8C7FF8FCF9F70a2cCA

Pool ALPH/USDT Uniswap V3 (rute beli) 0xa344855388c9f2760e998eb2207b58de6e7d0360

Uniswap X: Router Rizzolver 0x225a38bc71102999Dd13478BFaBD7c4d53f2DC17

Uniswap X: settler 0x51C72848c68a965f66FA7a88855F9f7784502a7F

UniswapX V2DutchOrderReactor (disimpulkan) 0x00000011F84B9aa48e5f8aA8B9897600006289Be

wALPH/ETH Uniswap V3 pool 0x9628105808292699874f20d77d50a09bc26850c5

Pengelola Pool Uniswap V4 0x000000000004444c5dc75cB358380D2e3dE08A90

Izin Uniswap2 0x000000000022D473030F116dDEE9F6B43aC78BA3

deBridge DlnDestination (pengiriman ETH) 0xE7351Fd770A37282b91D153Ee690B63579D6dd7f

deBridge Crosschain Forwarder Proxy (BSC) 0x663DC15D3C1aC63ff12E45Ab68FeA3F0a883C251

Alephium — kontrak jembatan (penyimpanan token) 226T1XspViny5o6Ce1jQR6UCGrDXuq5NBVoCFNufMEWBZ

Apa Arti Data On-Chain Ini?

Sebagian besar dana yang dicuri belum berpindah.

• Sebanyak 100,88 ETH tetap tersimpan di alamat konsolidasi tanpa terdeteksi adanya deposit ke CEX.
• Judul berita "$815K" telah menghitung total nilai nominal wALPH yang dicetak dengan harga sebelum krisis. Perhitungan yang lebih akurat adalah sekitar $305K jaminan yang dicuri dan 13,76M wALPH yang dicetak tanpa jaminan (di mana hanya sekitar 500K wALPH yang terealisasi, sementara sisanya 13,26M telah dibakar).

Untuk mendapatkan nilai ETH, penyerang perlu memindahkannya. Setiap alamat dalam laporan ini bersifat publik, permanen, dan sekarang berada di hadapan audiens yang jauh lebih besar. Semakin banyak mata yang mengawasi dompet-dompet ini, semakin kecil kemungkinan terjadinya kesalahan.

Jika Anda mengamati pergerakan apa pun pada alamat yang tercantum di sini, segera laporkan di saluran Telegram atau Discord Alephium. Investigasi sedang berlangsung, dan kami berkoordinasi dengan penegak hukum dan tim keamanan blockchain.

Kami akan membagikan analisis pasca-kejadian yang lebih lengkap yang mencakup eksploitasi, proses pengamanan, ruang lingkup aset yang terpengaruh, dan langkah-langkah pemulihan yang tersisa.

Informasi lebih lanjut akan menyusul.