Gravity Bridge wstrzymany po wycieku 5,4 mln dolarów z połączenia Ethereum-Cosmos

Gravity Bridge straciło około 5,4 miliona dolarów w wyniku ataku przeprowadzonego wczesnym rankiem w sobotę, który badacze bezpieczeństwa powiązali z możliwym przejęciem klucza podpisującego.

Analityk on-chain Specter jako pierwszy zgłosił nietypowe wypłaty, stwierdzając, że wzorzec sugeruje, iż klucze podpisujące mostu mogły zostać przejęte, a nie sam kod smart kontraktu. Firma bezpieczeństwa PeckShield opublikowała później podobną ocenę i udostępniła zestawienie skradzionych aktywów.

Gravity Bridge wstrzymuje działalność po wyczerpaniu środków

Według PeckShield skradzione aktywa obejmowały około 4,3 miliona dolarów w USDC, 274 wrapped ether o wartości około 553 000 dolarów, 434 000 dolarów w USDT oraz 14,16 PAXG o wartości około 64 000 dolarów. Firma podała, że środki trafiły do portfela kończącego się na 7C62da1F9.

Specter zidentyfikował dotknięty kontrakt Gravity Bridge jako adres kończący się na 1F2D906. Analityk stwierdził, że wzorzec transakcji był zgodny z nieautoryzowanymi wypłatami zatwierdzonymi przez skompromitowaną autoryzację, a nie bezpośrednim exploitem logiki kontraktu.

Zespół Gravity potwierdził później incydent na platformie X i poprosił walidatorów o zatrzymanie swoich walidatorów oraz orkiestratorów na czas trwania dochodzenia. W kolejnej aktualizacji zespół poinformował, że most został wstrzymany w związku z analizą ataku.

Badacze wskazują na warstwę autoryzacji

Gravity Bridge łączy Ethereum z ekosystemem Cosmos poprzez blokowanie aktywów na Ethereum i tworzenie lustrzanych tokenów na Cosmos. Podpisy walidatorów autoryzują przemieszczanie aktywów przez most.

Według wstępnej oceny Spectera atakujący, który kontroluje wystarczającą liczbę ważnych kluczy podpisujących, mógłby sprawić, że wypłaty wyglądałyby na legalne dla systemu. Raport PeckShield skupił się również na skradzionych środkach i przemieszczaniu aktywów po ataku.

Zespół Gravity nie opublikował jeszcze raportu końcowego, więc dokładny punkt wejścia pozostaje niepotwierdzony. Publiczne aktualizacje potwierdziły jedynie sam incydent, wstrzymanie działalności oraz trwające dochodzenie.

Atakujący przenosi środki przez serwisy wymiany

PeckShield poinformował, że część skradzionych środków została już przetransferowana przez ChangeNow i Binance po ataku. Firma podała również, że skradziony portfel nadal posiadał około 2 100 ETH o wartości blisko 4,23 miliona dolarów w momencie publikacji aktualizacji.

Zrzut ekranu portfela udostępniony przez Spectera za pośrednictwem Arkham pokazał powiązany adres posiadający około 4,16 miliona dolarów w ether. Ruchy te pokazują, że śledczy śledzą środki w kilku serwisach i portfelach.

Gravity Bridge został zbudowany przez współtwórców, w tym zespół Althea, i jest zabezpieczony tokenem Graviton, czyli GRAV. Protokół nie wyjaśnił jeszcze, czy infrastruktura walidatorów, klucze prywatne czy inna słabość operacyjna umożliwiła dokonanie wypłat.

Jeśli wstępne oceny zostaną potwierdzone, incydent z Gravity Bridge dołączy do innych ataków na mosty w 2026 roku, w których kluczową rolę odegrały błędy w zarządzaniu kluczami, a nie audytowany kod kontraktu. Podobne obawy pojawiły się w incydentach z Kelp DAO i Resolv wcześniej w tym roku, według badaczy bezpieczeństwa cytowanych w tych sprawach.

TRM Labs poinformował, że ataki na mosty pozostają głównym źródłem strat w kryptowalutach w 2026 roku. Strata Gravity Bridge jest mniejsza niż niektóre poprzednie naruszenia mostów, w tym exploit Nomad o wartości 190 milionów dolarów w 2022 roku i hack Orbit Bridge o wartości 81,5 miliona dolarów w 2024 roku.