Alephium TokenBridge 被攻破，損失 81.5 萬美元。攻擊者控制了 4 個 Guardian 密鑰中的 3 個，7 分鐘內偽造 VAA、憑空鑄造 1376 萬枚封裝 ALPH，超過攻擊前流通供應量的 100%。

這不是一次技術上的“程式碼漏洞”，而是治理層面的信任崩塌。多簽本意是分散風險，但當 3/4 的密鑰能被同一實體控制，多簽就變成了單點故障。Guardian 密鑰的保管機制、冷熱隔離、定期輪換，這些基礎問題在跨鏈橋設計中常被忽視。
更值得警惕的是，攻擊者不僅鑄造了代幣，還從托管池中解鎖了 USDT、USDC、WBTC 和 WETH。這意味著跨鏈橋的流動性池並非完全獨立，而是與治理權限深度綁定。一旦治理失守，池中所有資產都暴露在風險之下。
Alephium 並非孤例。2025 年 Wormhole、Nomad 等跨鏈橋攻擊已暴露類似問題，但行業似乎並未真正吸取教訓。跨鏈橋作為資產跨生態流動的關鍵基礎設施，其安全模型必須從“信任少數人”轉向“可驗證的程式碼邏輯”。
對用戶而言，一個簡單的判斷標準：如果一個跨鏈橋的升級或暫停權限集中在少數地址手中，那麼它的安全性並不比中心化交易所更好。在 DeFi 世界裡，治理即風險。
$usdt #usdc #w #wbtc #defi