Gravity Bridge, um protocolo cross-chain que move ativos entre Ethereum e o ecossistema Cosmos, foi drenado de aproximadamente US$ 5,4 milhões no início do sábado no que pesquisadores de segurança acreditam ter sido uma chave de assinatura comprometida em vez de um bug de contrato inteligente.

As saídas incomuns foram inicialmente sinalizadas pelo analista onchain Specter e posteriormente corroboradas pela empresa de segurança PeckShield. Specter disse que parece que as chaves de assinatura da bridge podem ter sido comprometidas, permitindo ao atacante realizar uma série de saques não autorizados.

Os fundos roubados somam cerca de US$ 4,3 milhões em USDC, 274 wrapped ether avaliados em aproximadamente US$ 553.000, US$ 434.000 em tether e 14,16 tokens PAXG no valor de cerca de US$ 64.000, de acordo com a contagem da PeckShield. Os ativos foram roteados para um endereço terminando em 7C62da1F9, com o contrato drenado identificado por Specter como um terminando em 1F2D906.

"Ocorreu um incidente lamentável na Gravity," a equipe escreveu no X no sábado. "Os validadores devem parar seus validadores e orquestradores enquanto este incidente está sendo investigado." Em uma publicação de acompanhamento, a equipe disse que a bridge está atualmente paralisada enquanto investiga o ataque. 

O atacante começou a mover os fundos quase imediatamente. A PeckShield disse que uma parte do montante já foi lavada através do serviço de troca instantânea ChangeNow e através da Binance, enquanto a carteira de roubo ainda mantinha cerca de 2.100 ETH, ou cerca de US$ 4,23 milhões, no momento de seu relatório. Um snapshot da Arkham compartilhado por Specter mostrou uma carteira relacionada detendo aproximadamente US$ 4,16 milhões em ether.

Gravity Bridge funciona bloqueando tokens na rede Ethereum e cunhando versões espelhadas dos tokens na Cosmos, com assinaturas de validadores autorizando cada transferência. Se um atacante obtiver chaves de assinatura válidas suficientes, o sistema trata os saques forjados como legítimos. Esse mecanismo parece consistente com a leitura inicial dos pesquisadores de que a violação reside na camada de autorização, e não na lógica do contrato.

Se confirmado, o incidente se encaixaria no padrão contínuo dos ataques a bridges de 2026, nos quais problemas-chave de segurança fornecem as vulnerabilidades, e não falhas no código do contrato inteligente subjacente. Uma causa raiz semelhante surgiu nos exploits da Kelp DAO e da Resolv no início deste ano, onde o código auditado não foi o ponto fraco.

Com US$ 5,4 milhões, a perda da Gravity Bridge é modesta em comparação com os principais hacks de bridges do ano, mas se soma a um recente e grande aumento de incidentes, sendo abril o mês com mais hacks registrados. As bridges têm sido uma superfície de ataque significativa em 2026 e um dos principais impulsionadores de um ano em que as perdas por hacks de cripto atingiram bilhões, de acordo com a TRM Labs. A categoria tem um longo histórico como um dos alvos mais lucrativos da cripto, desde o exploit da Nomad de US$ 190 milhões em 2022 até o hack da Orbit Bridge de US$ 81,5 milhões em 2024.

Gravity Bridge, construída por colaboradores incluindo a equipe Althea e protegida por seu token nativo Graviton (GRAV), ainda não divulgou uma análise post-mortem, deixando o ponto de entrada exato não confirmado. O The Block não conseguiu entrar em contato imediatamente com a Gravity Bridge ou a Althea para comentários.