Gravity Bridge, un protocol cross-chain care mută active între Ethereum și ecosistemul Cosmos, a fost golit de aproximativ 5,4 milioane de dolari sâmbătă dimineață, în ceea ce cercetătorii în securitate consideră a fi fost o cheie de semnare compromisă, mai degrabă decât o eroare de smart contract.

Ieșirile neobișnuite au fost semnalate pentru prima dată de analistul onchain Specter și ulterior coroborate de firma de securitate PeckShield. Specter a declarat că se pare că cheile de semnare ale bridge-ului ar fi fost compromise, permițând atacatorului să efectueze o serie de retrageri neautorizate.

Fondurile furate se defalcă în aproximativ 4,3 milioane de dolari în USDC, 274 wrapped ether în valoare de aproximativ 553.000 de dolari, 434.000 de dolari în tether și 14,16 token-uri PAXG în valoare de aproximativ 64.000 de dolari, conform numărătorii PeckShield. Activele au fost direcționate către o adresă care se termină cu 7C62da1F9, contractul golit fiind identificat de Specter ca fiind cel care se termină cu 1F2D906.

"A avut loc un incident nefericit pe Gravity", a scris echipa pe X sâmbătă. "Validatorii ar trebui să-și oprească validatorii și orchestratorii în timp ce acest incident este investigat." Într-o postare ulterioară, echipa a declarat că bridge-ul este momentan oprit în timp ce investighează atacul. 

Atacatorul a început să mute fondurile aproape imediat. PeckShield a declarat că o parte din pradă a fost deja spălată prin serviciul de schimb instant ChangeNow și prin Binance, în timp ce portofelul de furt deținea încă aproximativ 2.100 ETH, sau aproximativ 4,23 milioane de dolari, la momentul raportului său. O captură Arkham partajată de Specter a arătat un portofel aferent care deținea aproximativ 4,16 milioane de dolari în ether.

Gravity Bridge funcționează prin blocarea token-urilor în rețeaua Ethereum și minting-ul de versiuni oglindite ale token-urilor pe Cosmos, cu semnături de validator care autorizează fiecare transfer. Dacă un atacator obține suficiente chei de semnare valide, sistemul tratează retragerile falsificate ca fiind legitime. Acest mecanism pare consistent cu prima interpretare a cercetătorilor, conform căreia breșa se află la nivelul de autorizare, mai degrabă decât în logica contractului.

Dacă va fi confirmat, incidentul s-ar încadra în tiparul continuu al atacurilor asupra bridge-urilor din 2026, în care problemele cheie de securitate oferă vulnerabilitățile, mai degrabă decât erorile din codul smart contractului subiacent. O cauză similară a apărut în exploatările Kelp DAO și Resolv la începutul acestui an, unde codul auditat nu a fost punctul slab.

La 5,4 milioane de dolari, pierderea Gravity Bridge este modestă în comparație cu atacurile majore asupra bridge-urilor din acest an, dar se adaugă unei creșteri semnificative recente a incidentelor, aprilie fiind luna cu cele mai multe hack-uri înregistrate. Bridge-urile au reprezentat o suprafață de atac semnificativă în 2026 și un factor principal într-un an în care pierderile din hack-urile crypto au ajuns la miliarde, conform TRM Labs. Această categorie are un istoric lung ca fiind una dintre cele mai profitabile ținte din crypto, de la exploatarea Nomad de 190 de milioane de dolari în 2022 până la hack-ul Orbit Bridge de 81,5 milioane de dolari în 2024.

Gravity Bridge, construit de contributori, inclusiv echipa Althea și securizat de token-ul său nativ Graviton (GRAV), nu a publicat încă un postmortem, lăsând punctul exact de intrare neconfirmat. The Block nu a reușit să contacteze imediat Gravity Bridge sau Althea pentru comentarii.