Alephium TokenBridge 被攻破，损失 81.5 万美元。攻击者控制了 4 个 Guardian 密钥中的 3 个，7 分钟内伪造 VAA、凭空铸造 1376 万枚封装 ALPH，超过攻击前流通供应量的 100%。

Ini bukan sebuah "celah kode" teknis, melainkan keruntuhan kepercayaan di tingkat tata kelola. Multi-signature awalnya dimaksudkan untuk mendistribusikan risiko, tetapi ketika 3/4 kunci dapat dikendalikan oleh entitas yang sama, multi-signature menjadi titik kegagalan tunggal. Mekanisme penyimpanan kunci Guardian, isolasi panas dan dingin, rotasi berkala, masalah dasar ini sering diabaikan dalam desain jembatan lintas rantai.
Yang lebih patut diwaspadai adalah, penyerang tidak hanya mencetak token, tetapi juga membuka kunci USDT, USDC, WBTC, dan WETH dari kolam penitipan. Ini berarti kolam likuiditas jembatan lintas rantai tidak sepenuhnya independen, melainkan sangat terkait dengan hak tata kelola. Jika tata kelola gagal, semua aset dalam kolam berada dalam risiko.
Alephium bukan satu-satunya contoh. Pada tahun 2025, serangan terhadap jembatan lintas rantai seperti Wormhole, Nomad telah mengungkapkan masalah serupa, tetapi industri tampaknya belum benar-benar belajar dari pengalaman. Sebagai infrastruktur kunci untuk aliran aset antar ekosistem, model keamanan jembatan lintas rantai harus beralih dari "percaya pada sedikit orang" ke "kode yang dapat diverifikasi".
Bagi pengguna, satu standar penilaian sederhana: jika peningkatan atau penangguhan hak jembatan lintas rantai terkonsentrasi di tangan beberapa alamat, maka keamanannya tidak lebih baik dari bursa terpusat. Dalam dunia DeFi, tata kelola adalah risiko.
$usdt #usdc #w #wbtc #defi