ग्रेविटी ब्रिज ने शनिवार सुबह एक निकासी के बाद लगभग 5.4 मिलियन डॉलर खो दिए, जिसे सुरक्षा शोधकर्ताओं ने संभावित हस्ताक्षर कुंजी (signing key) के समझौता (compromise) से जोड़ा है।
ऑन-चेन विश्लेषक स्पेक्ट्रे ने सबसे पहले असामान्य निकासी की ओर ध्यान दिलाया, उन्होंने कहा कि यह पैटर्न बताता है कि ब्रिज की हस्ताक्षर कुंजी (signing keys) से समझौता किया गया होगा, न कि उसके स्मार्ट कॉन्ट्रैक्ट कोड से। सुरक्षा फर्म पेकशील्ड ने बाद में ऐसा ही आकलन पोस्ट किया और चोरी की गई संपत्तियों का विवरण साझा किया।
पेकशील्ड के अनुसार, चोरी की गई संपत्तियों में USDC में लगभग 4.3 मिलियन डॉलर, लगभग 553,000 डॉलर मूल्य के 274 रैप्ड ईथर (wrapped ether), USDT में 434,000 डॉलर और लगभग 64,000 डॉलर मूल्य के 14.16 PAXG शामिल थे। फर्म ने बताया कि फंड 7C62da1F9 पर समाप्त होने वाले वॉलेट में चले गए।
स्पेक्ट्रे ने प्रभावित ग्रेविटी ब्रिज कॉन्ट्रैक्ट को 1F2D906 पर समाप्त होने वाले पते के रूप में पहचाना। विश्लेषक ने कहा कि लेनदेन का पैटर्न, कॉन्ट्रैक्ट लॉजिक के सीधे शोषण (exploit) के बजाय, समझौता किए गए प्राधिकरण (authorization) के माध्यम से अनुमोदित अनधिकृत निकासी के अनुरूप प्रतीत होता है।
ग्रेविटी टीम ने बाद में X पर एक घटना की पुष्टि की और जांच जारी रहने तक सत्यापनकर्ताओं (validators) और ऑर्केस्ट्रेटर (orchestrators) को अपने संचालन बंद करने के लिए कहा। एक अन्य अपडेट में, टीम ने कहा कि हमले की समीक्षा करते समय ब्रिज को रोक दिया गया था।
ग्रेविटी ब्रिज एथेरियम पर संपत्तियों को लॉक करके और कॉसमॉस पर मिरर किए गए टोकन मिंट करके एथेरियम को कॉसमॉस इकोसिस्टम से जोड़ता है। सत्यापनकर्ता (Validator) के हस्ताक्षर ब्रिज के पार संपत्ति की आवाजाही को अधिकृत करते हैं।
स्पेक्ट्रे के प्रारंभिक आकलन के अनुसार, एक हमलावर जो पर्याप्त वैध हस्ताक्षर कुंजियों (valid signing keys) को नियंत्रित करता है, वह निकासी को सिस्टम के लिए वैध दिखा सकता है। पेकशील्ड की रिपोर्ट ने चोरी किए गए फंड और निकासी के बाद संपत्तियों की आवाजाजी पर भी ध्यान केंद्रित किया।
ग्रेविटी टीम ने कोई पोस्टमार्टम जारी नहीं किया है, इसलिए सटीक प्रवेश बिंदु (entry point) की पुष्टि नहीं हुई है। इसके सार्वजनिक अपडेट ने केवल घटना, रोक और चल रही जांच की पुष्टि की है।
पेकशील्ड ने कहा कि चोरी किए गए फंड का कुछ हिस्सा हमले के बाद ChangeNow और Binance के माध्यम से पहले ही स्थानांतरित हो चुका था। फर्म ने यह भी बताया कि जब उसने अपना अपडेट प्रकाशित किया था, तब चोरी किए गए वॉलेट में अभी भी लगभग 2,100 ETH थे, जिनका मूल्य लगभग 4.23 मिलियन डॉलर था।
आर्खम के माध्यम से स्पेक्ट्रे द्वारा साझा किए गए एक वॉलेट स्नैपशॉट में एक संबंधित पते पर लगभग 4.16 मिलियन डॉलर का ईथर (ether) दिखाया गया। ये गतिविधियाँ दर्शाती हैं कि जांचकर्ता कई सेवाओं और वॉलेट में फंड को ट्रैक कर रहे हैं।
ग्रेविटी ब्रिज का निर्माण अल्थिया टीम सहित योगदानकर्ताओं द्वारा किया गया था, और इसे ग्रेविटॉन (Graviton), या GRAV, टोकन द्वारा सुरक्षित किया जाता है। प्रोटोकॉल ने अभी तक यह नहीं बताया है कि सत्यापनकर्ता बुनियादी ढांचे (validator infrastructure), निजी कुंजियों (private keys), या किसी अन्य परिचालन कमजोरी (operational weakness) ने निकासी की अनुमति दी थी।
यदि प्रारंभिक आकलन की पुष्टि हो जाती है, तो ग्रेविटी ब्रिज की घटना 2026 के अन्य ब्रिज हमलों में शामिल हो जाएगी जहां कुंजी-प्रबंधन की विफलताएं (key-management failures), न कि ऑडिटेड कॉन्ट्रैक्ट कोड, ने केंद्रीय भूमिका निभाई। इस साल की शुरुआत में केल्प डीएओ (Kelp DAO) और रिसॉल्व (Resolv) की घटनाओं में भी इसी तरह की चिंताएं सामने आईं, जैसा कि उन मामलों में उद्धृत सुरक्षा शोधकर्ताओं ने बताया।
टीआरएम लैब्स (TRM Labs) ने बताया है कि 2026 में ब्रिज हमले क्रिप्टो नुकसान का एक प्रमुख स्रोत बने हुए हैं। ग्रेविटी ब्रिज का नुकसान कुछ पिछले ब्रिज उल्लंघनों (breach) की तुलना में छोटा है, जिसमें 2022 में 190 मिलियन डॉलर का नोमैड एक्सप्लॉइट (Nomad exploit) और 2024 में 81.5 मिलियन डॉलर का ऑर्बिट ब्रिज हैक (Orbit Bridge hack) शामिल है।
