A Gravity Bridge perdeu cerca de US$ 5,4 milhões após uma drenagem no início de sábado que pesquisadores de segurança vincularam a um possível comprometimento de chave de assinatura.
O analista on-chain Specter foi o primeiro a sinalizar os saques incomuns, dizendo que o padrão sugeria que as chaves de assinatura da ponte poderiam ter sido comprometidas, em vez de seu código de contrato inteligente. A empresa de segurança PeckShield posteriormente publicou uma avaliação semelhante e compartilhou um detalhamento dos ativos roubados.
De acordo com a PeckShield, os ativos roubados incluíam cerca de US$ 4,3 milhões em USDC, 274 wrapped ether avaliados em cerca de US$ 553.000, US$ 434.000 em USDT e 14,16 PAXG no valor de cerca de US$ 64.000. A empresa disse que os fundos foram movidos para uma carteira terminada em 7C62da1F9.
Specter identificou o contrato Gravity Bridge afetado como um endereço terminado em 1F2D906. O analista disse que o padrão de transação parecia consistente com saques não autorizados aprovados através de autorização comprometida, em vez de um exploit direto da lógica do contrato.
A equipe Gravity confirmou posteriormente um incidente no X e pediu aos validadores que parassem seus validadores e orquestradores enquanto a investigação continua. Em outra atualização, a equipe disse que a ponte havia sido paralisada enquanto revisava o ataque.
A Gravity Bridge conecta Ethereum com o ecossistema Cosmos bloqueando ativos no Ethereum e cunhando tokens espelhados no Cosmos. As assinaturas dos validadores autorizam o movimento de ativos através da ponte.
De acordo com a avaliação inicial de Specter, um invasor que controla chaves de assinatura válidas suficientes poderia fazer com que os saques parecessem legítimos para o sistema. O relatório da PeckShield também se concentrou nos fundos roubados e no movimento dos ativos após a drenagem.
A equipe Gravity não lançou um post-mortem, então o ponto de entrada exato permanece não confirmado. Suas atualizações públicas apenas confirmaram o incidente, a paralisação e a investigação em andamento.
A PeckShield disse que parte dos fundos roubados já havia sido movida através de ChangeNow e Binance após o ataque. A empresa também relatou que a carteira roubída ainda detinha cerca de 2.100 ETH, avaliados em aproximadamente US$ 4,23 milhões, quando publicou sua atualização.
Um snapshot de carteira compartilhado por Specter via Arkham mostrou um endereço relacionado detendo aproximadamente US$ 4,16 milhões em ether. Esses movimentos mostram que os investigadores estão rastreando os fundos em vários serviços e carteiras.
A Gravity Bridge foi construída por contribuidores, incluindo a equipe Althea, e é protegida pelo token Graviton, ou GRAV. O protocolo ainda não explicou se a infraestrutura do validador, chaves privadas ou outra fraqueza operacional permitiu os saques.
Se as avaliações iniciais forem confirmadas, o incidente da Gravity Bridge se juntaria a outros ataques a pontes de 2026 onde falhas na gestão de chaves, em vez de código de contrato auditado, desempenharam um papel central. Preocupações semelhantes surgiram nos incidentes da Kelp DAO e Resolv no início deste ano, de acordo com pesquisadores de segurança citados nesses casos.
A TRM Labs relatou que ataques a pontes continuam sendo uma das principais fontes de perdas de cripto em 2026. A perda da Gravity Bridge é menor do que algumas violações de pontes passadas, incluindo o exploit da Nomad de US$ 190 milhões em 2022 e o hack da Orbit Bridge de US$ 81,5 milhões em 2024.
