Ai总结： 5月上旬，Alephium、Verus与Gravity等多条跨链桥接连遭黑客攻击，累计损失逾3.2亿美元。攻击者通过控制多数守护者密钥伪造验证消息，实现大规模资产盗取，项目方则否认密钥泄露，称系链下边缘漏洞所致。

多条跨链桥在五月中旬接连遭遇恶意入侵

近期，以太坊上的Alephium代币桥遭受严重攻击，约81.5万美元资金被非法提取。攻击者利用伪造交易生成超过1376万枚封装型ALPH代币，导致项目方紧急发布风险提示，要求所有流动性提供者立即撤回资金。

连续多起攻击凸显跨链协议脆弱性

此次事件使五月内跨链桥被攻击次数攀升至新高。5月18日，Verus-以太坊桥因验证机制绕过漏洞损失约1150万美元；5月30日当天，Gravity Bridge亦报告540万美元资产被盗，同日Alephium桥也遭到相同类型攻击。

攻击路径揭示关键权限滥用

区块链安全机构Blockaid监测到，攻击者成功掌控了保护该桥的四个守护者密钥中的三个。凭借多数签名权，其伪造了用于授权跨链转账的验证行动批准（VAA）——一种核心加密确认指令。

整个过程持续约七分钟。攻击者借助伪造的VAA批量铸造1376万枚封装ALPH，数量超过原供应量的100%。同时，包括USDT、USDC、WBTC和WETH在内的多种资产也被从托管合约中释放。

链上分析师Specter指出，本次攻击波及以太坊与BNB链双平台的桥接合约。根据其公开分析，攻击者随后将赃款由BNB链转移至以太坊，并已将其注入混币服务以掩盖行踪。

项目方澄清漏洞非源于密钥泄露

Alephium随后发布官方声明，驳回外界关于密钥外泄的说法：“与部分早期报道不同，此次事件并非由于守护者密钥暴露造成。”协议团队解释称，问题根源是桥接系统后端在特定边界条件下触发的链下逻辑缺陷。

项目方公布了具体资产损失明细：以太坊链上损失200,967 USDT、17,594 USDC、5.18 WETH及0.335 WBTC；BNB链上则有36,750 USDT与24.386 WBNB被取出。

强制用户撤离流动性池以防二次受损

为防止攻击者进一步利用未授权代币套现，Alephium呼吁在Uniswap或PancakeSwap等平台为ALPH提供流动性的用户尽快退出。后续公告明确说明：“由于桥已暂停运作，攻击者无法通过原通道赎回或转移封装代币。因此我们强烈建议避免新增流动性，且现有持仓应立即撤出，禁止参与相关交易。”

声明强调：“继续注入资金或进行交易，可能助长攻击者从非法生成的代币中获取价值的能力。”当前，ALPH代币市场价为0.037美元，总市值突破500万美元；其生态内总锁仓价值约为75.6万美元，其中跨链桥部分占30.8万美元。团队表示正全力推进修复工作，预计下周公布阶段性进展。

跨链基础设施进入高危期

Alephium事件再次加剧了跨链架构在本月面临的严峻挑战。同日，Gravity Bridge也传出重大损失，链上分析人士推测其合约密钥可能已被破解，致损金额达540万美元。

据DefiLlama攻击数据库统计，两周前，Verus-以太坊桥因验证绕过漏洞蒙受1150万美元损失。此外，5月15日，THORChain在比特币、以太坊、BNB链及Base网络同步遭遇协同攻击，总计损失达1000万美元。

近期内，跨链桥类项目频繁成为攻击目标。仅五月中旬之前，2026年已累计发生多起此类事件，造成的经济损失超3.26亿美元。历史数据显示，在加密行业累计被盗的166亿美元中，跨链桥协议占比高达32亿美元。尽管其数量远低于其他DeFi类别，但单位损失比例极为惊人。从四月到五月，漏洞频发与攻击升级趋势持续，已成为整个行业亟待解决的核心风险。