Alephium TokenBridge 被攻破，损失 81.5 万美元。

攻撃者は 4 つの Guardian 鍵のうち 3 つを制御し、7 分以内に VAA を偽造し、空から 1376 万枚の封装 ALPH を鋳造し、攻撃前の流通供給量の 100% を超えた。
これは単なる技術的な「コードの脆弱性」ではなく、ガバナンス層の信頼崩壊である。
マルチシグの本来の目的はリスクの分散だが、3/4 の鍵を同一の実体が制御できる場合、マルチシグは単一点故障となる。
Guardian 鍵の管理メカニズム、コールドウォレットとホットウォレットの隔離、定期的なローテーションなどの基本的な問題は、クロスチェーンブリッジの設計においてしばしば見落とされる。
さらに警戒すべきは、攻撃者がトークンを鋳造しただけでなく、ホルダー池から USDT、USDC、WBTC、WETH を解錠したことだ。
これはクロスチェーンブリッジの流動性プールが完全に独立しているわけではなく、ガバナンス権限と深く結びついていることを意味する。
ガバナンスが失われれば、プール内のすべての資産がリスクにさらされる。
Alephium は例外ではない。
2025 年には Wormhole や Nomad などのクロスチェーンブリッジ攻撃で類似の問題が露呈したが、業界は本当に教訓を学んでいないようだ。
クロスチェーンブリッジは資産のエコシステム間の流動性の鍵となるインフラであり、そのセキュリティモデルは「少数の信頼」から「検証可能なコードロジック」へと移行すべきだ。
ユーザーにとっての簡単な判断基準は、
もしあるクロスチェーンブリッジのアップグレードや一時停止の権限が少数のアドレスに集中している場合、その安全性は中央集権型取引所よりも劣ることになる。
DeFi の世界では、ガバナンスはリスクそのものである。
$usdt #usdc #w #wbtc #defi