알레피움(Alephium, ALPH)의 토큰브릿지(TokenBridge)는 한 공격자가 프로토콜의 가디언 네트워크를 통해 위조된 메시지가 통과하도록 취약점을 악용하여 약 81만5천 달러를 탈취당했습니다.
알레피움 팀은 블록체인 보안 회사 블록에이드(Blockaid)가 이 익스플로잇을 최초로 감지했다고 확인했습니다. 시큐리티얼라이언스(Security Alliance)의 SEAL_911 긴급 대응 팀 또한 이후 조사 과정 전반에 걸쳐 도움과 신속한 대응을 제공했습니다.
7분도 안 돼 81만5천 달러 탈취되는 익스플로잇
공격자는 약 7분 만에 이더리움(Ethereum)과 BNB체인(BNB Chain) 모두에서 알레피움 토큰브릿지의 자금을 이동시켰습니다. 이더리움 쪽에서는 20만967 테더(USDT), 1만7,594 USD 코인(USDC), 5.18 WETH(랩드 이더), 0.335 WBTC(랩드 비트코인) 등이 손실에 포함됐습니다.
BNB체인 측에서는 추가로 3만6,750 USDT와 24.386 랩드 BNB가 유출됐습니다. 공격자는 또한 담보 없이 1,376만 개의 랩드 ALPH를 신규 발행하여 자신의 지갑으로 직접 전송했습니다.
알레피움은 브릿지 서비스를 중단하고 피해 이용자 보상을 위한 모든 방안을 모색 중이라고 밝혔습니다.
이번 사건은 2026년 크로스체인 인프라의 상황을 더욱 악화시키고 있습니다. 4월 암호화폐 해킹 피해액이 6억600만 달러에 달했으며, 5월 디파이 해킹 금액은 6월로 접어들며 계속 증가하고 있습니다.
크로스커브(CrossCurve) 브릿지 익스플로잇과 하이퍼브릿지(Hyperbridge) 익스플로잇도 각각 250만 달러로 수정되어 올해 누적 피해액에 추가됐습니다.
도난당한 키가 아닌 위조 메시지
개발자들은 알레피움 토큰브릿지를 웜홀(Wormhole) 프로토콜을 포크하여 구축했습니다. 이 프로토콜은 가디언 네트워크가 크로스체인 메시지의 유효성을 검증합니다. 모든 전송에는 정족수 가디언의 서명이 필요하므로, 가짜 메시지를 삽입하는 능력은 심각한 취약점이 됩니다.
초기 보도에서는 가디언 개인키 탈취를 원인으로 지목하며, 2026년 초 540만 달러 손실을 가져온 그래비티 브릿지(Gravity Bridge) 키 탈취 사건과 비교가 제기된 바 있습니다. 하지만 알레피움의 사후 공지는 이런 해석에 반대되는 입장을 내놨습니다.
“이번 익스플로잇은 가디언의 개인키 탈취와 관련된 것으로 보이지 않습니다. 오히려, 악의적으로 위조된 이벤트/메시지를 가디언들이 관찰, 서명하도록 유도하는 취약점이 활용된 것으로 판단됩니다.” – 알레피움(Alephium)
이 차이는 중요합니다. 키 탈취는 운영상 실패를 의미하고, 위조 메시지 공격은 브릿지가 데이터를 가디언에게 전달하기 전 검증 방식에 결함이 있다는 뜻입니다.
폴카닷(Polkadot) 브릿지 익스플로잇에서도 이와 유사하게 공격자가 트랜잭션을 위조로 검증하고 담보 없는 토큰을 발행한 사례가 있었습니다. 알레피움 팀은 보다 자세한 기술적 사후 분석을 추가로 공개할 예정이라고 밝혔습니다.
