Gravity Bridge, protokół cross-chain, który przenosi aktywa między Ethereum a ekosystemem Cosmos, został okradziony z około 5,4 miliona dolarów wczesnym rankiem w sobotę, w czym badacze bezpieczeństwa upatrują naruszonego klucza podpisu, a nie błędu w smart kontrakcie.

Nietypowe wypływy zostały po raz pierwszy zgłoszone przez analityka onchain Specter i później potwierdzone przez firmę zajmującą się bezpieczeństwem, PeckShield. Specter stwierdził, że wygląda na to, iż klucze podpisu mostu mogły zostać skompromitowane, co pozwoliło atakującemu na przeprowadzenie serii nieautoryzowanych wypłat.

Skradzione środki obejmują około 4,3 miliona dolarów w USDC, 274 wrapped ether o wartości około 553 000 dolarów, 434 000 dolarów w tetherze i 14,16 tokenów PAXG o wartości około 64 000 dolarów, zgodnie z wyliczeniami PeckShield. Aktywa zostały skierowane na adres kończący się na 7C62da1F9, a zaatakowany kontrakt został zidentyfikowany przez Specter jako ten kończący się na 1F2D906.

„Doszło do niefortunnego incydentu na Gravity”, napisał zespół na platformie X w sobotę. „Walidatorzy powinni zatrzymać swoje walidatory i orkiestratorów, dopóki ten incydent nie zostanie zbadany”. W kolejnym wpisie zespół poinformował, że most jest obecnie zatrzymany w celu zbadania ataku. 

Atakujący zaczął przenosić środki niemal natychmiast. PeckShield podało, że część skradzionych środków została już wyprana za pośrednictwem usługi natychmiastowej wymiany ChangeNow oraz przez Binance, podczas gdy portfel złodzieja nadal zawierał około 2100 ETH, czyli około 4,23 miliona dolarów, w momencie publikacji raportu. Migawka Arkham udostępniona przez Specter pokazała powiązany portfel zawierający około 4,16 miliona dolarów w etherze.

Gravity Bridge działa poprzez blokowanie tokenów w sieci Ethereum i wybijanie ich lustrzanych wersji w Cosmosie, przy czym podpisy walidatorów autoryzują każdy transfer. Jeśli atakujący uzyska wystarczającą liczbę ważnych kluczy podpisu, system traktuje fałszywe wypłaty jako legalne. Ten mechanizm wydaje się zgodny z wstępną oceną badaczy, że naruszenie leży w warstwie autoryzacji, a nie w logice kontraktu.

Jeśli zostanie to potwierdzone, incydent wpisze się w obecny wzorzec ataków na mosty z 2026 roku, w których kluczowe kwestie bezpieczeństwa stanowią luki, a nie wady w bazowym kodzie smart kontraktu. Podobna przyczyna źródłowa pojawiła się we wcześniejszych w tym roku exploitach Kelp DAO i Resolv, gdzie audytowany kod nie był słabym punktem.

Przy 5,4 miliona dolarów, strata Gravity Bridge jest skromna w porównaniu z tegorocznymi nagłośnionymi hackami mostów, ale przyczynia się do niedawnego znacznego wzrostu liczby incydentów, przy czym kwiecień był najbardziej zhakowanym miesiącem w historii. Mosty stanowiły znaczącą powierzchnię ataku w 2026 roku i główną przyczynę roku, w którym straty z tytułu hacków kryptowalutowych sięgnęły miliardów, według TRM Labs. Ta kategoria ma długą historię jako jeden z najbardziej lukratywnych celów w kryptowalutach, od exploitu Nomad o wartości 190 milionów dolarów w 2022 roku po hack Orbit Bridge o wartości 81,5 miliona dolarów w 2024 roku.

Gravity Bridge, zbudowany przez współtwórców, w tym zespół Althea, i zabezpieczony własnym tokenem Graviton (GRAV), nie opublikował jeszcze analizy pośmiertnej, pozostawiając dokładny punkt wejścia niepotwierdzonym. The Block nie było w stanie natychmiast skontaktować się z Gravity Bridge ani Althea w celu uzyskania komentarza.