알레피움 브리지 1,376만 랩트 알프 민팅… 백엔드 해킹으로 81만 달러 탈취

해커, 백엔드 취약점으로 승인 메시지 위조
알레피움, 유동성 공급 전면 중단과 브리지 셧다운

2026년 5월 31일(현지시각) Cryptopolitan, 블록에이드(Blockaid), 디파이라마(DefiLlama) 등 주요 블록체인 보안 전문 매체에 따르면, 알레피움(Alephium) 크로스체인 브리지에서 해커가 관리키 대신 백엔드(off-chain) 검증 프로세스 취약점을 노리고 신규 1,376만 랩트 알프(wALPH, 알레피움 기반 래핑 토큰) 토큰을 민팅했다. 지난해 알레피움 총 발행량 기준 약 15%에 달하는 물량으로, 해커는 이 과정에서 이더리움, 비앤비체인 등에서 81만5천 달러(약 11억원)의 자산도 추가로 탈취했다.

조사 결과, 해커는 브릿지 관리키 자체 유출 없이 복수 승인 메시지(VAA)를 백엔드 검증 시스템 허점을 이용해 위조했고, 이로 인해 내부적으로 정상 승인을 가장해 wALPH를 대량 민팅했다. 이때 유출된 자산에는 랩트 알프 외에도 WETH, USDT, USDC, WBTC 등 다양한 토큰이 포함됐고, 공격은 무려 7분 만에 성사됐다. 사건 직후, 알레피움 측은 공식 채널과 탈중앙화 거래소(유니스왑, 팬케이크스왑 등)를 통해 유동성 공급 전면 중단과 브리지 시스템 셧다운을 공지하며, 투자자에게 즉시 브리지 이용 중단과 추가 예치금 철수를 권고했다.

이번 사고의 핵심은 스마트컨트랙트 직접 해킹이 아니라, 후방 시스템(백엔드) 검증·관리의 미흡함이 원인이었다는 점이다. 디파이라마에 따르면 2026년 상반기 교차체인 브리지 누적 해킹 피해액은 약 3억2,600만 달러(약 4,400억원)에 달하고, 이 가운데 알레피움 피해가 81만5천 달러, 그라비티브리지(Gravity Bridge) 540만 달러, 베루스-이더리움(Verus-Ethereum) 브리지 1,150만 달러로 집계된다. 공식 조사단은 "VAA(승인 메시지) 서명 시스템이 충분히 강건하지 못해, 관리자가 직접 키를 드러내지 않더라도, 복수 승인 구조 오작동이나 트랜잭션 위조만으로도 대규모 민팅이 가능했다"고 분석했다.

해커는 탈취 자산의 상당수를 이더리움과 비앤비체인 상 믹싱 서비스(토네이도 캐시 등)로 이체해 추적을 어렵게 했으며, 복수 체인 간 자산 세탁 수법의 위험성이 다시금 부각됐다는 평가다. 특히 알레피움 랩트 알프 토큰의 전체 공급량 대비 약 15%에 해당하는 신규 물량이 단기간에 불법 유통된 점은 시장 가격 안정성에도 위협 요인이 되고 있다.

2026년 5월 31일 12시 8분(UTC) 기준, 탈취 자산 중 테더(USDT)는 24시간 변동률 -0.004%에 0.999달러, USD코인(USDC)은 0.002% 변동에 1달러, BNB는 7.219% 올라 721.528달러 수준에서 거래되고 있다.

아래는 교차체인 브리지별 최근 해킹 피해액 (2026년 상반기 기준, 출처: 디파이라마)