Z mezireťazcového protokolu Gravity Bridge bylo 30. května odcizeno přibližně 5,4 milionu dolarů; útočník údajně část kořisti převedl přes Binance a Changenow, jak informovala společnost Peckshield zabývající se bezpečností blockchainu.
Hacker odčerpal z projektu Gravity Bridge 5,4 milionu dolarů a ukradené prostředky převedl přes burzu Binance
NAPSAL
SDÍLET
Hlavní body
Prostředky směřovaly přes Binance a ChangeNow
Gravity Bridge, protokol, který přesouvá tokeny mezi ekosystémy Ethereum a Cosmos, přišel o přibližně 5,4 milionu dolarů v důsledku nového útoku, na který upozornila bezpečnostní firma Peckshield zabývající se blockchainem. Mezi ukradenými aktivy bylo zhruba 4,3 milionu dolarů v USD Coin (USDC), 274 etherů (ETH) v hodnotě asi 553 000 dolarů, 434 000 dolarů v tetheru (USDT) a 14 164 tokenů PAYG v hodnotě téměř 64 000 dolarů.
Útočník neztrácel čas s přesunem výnosů. Podle hodnocení společnosti Peckshield byla část kořisti již vyprána prostřednictvím Changenow, neúschovné swapové služby, a Binance, největší kryptoměnové burzy na světě podle objemu obchodování. V době vydání varování měl útočník stále v držení přibližně 2 102 ETH v hodnotě zhruba 4,23 milionu dolarů, což naznačuje, že většina ukradené hodnoty zůstala v řetězci a je potenciálně vysledovatelná.
Směrování prostředků přes centralizovanou burzu, jako je Binance, může zamaskovat stopy smícháním ukradených coinů s legitimní likviditou, ale také vystavuje prostředky riziku zmrazení, pokud tým platformy pro dodržování předpisů jedná rychle. Swapové služby jako ChangeNow se často používají k převodu aktiv na tokeny, které se hůře sledují, než se dostanou na burzu.
Co dělá Gravity Bridge
Gravity Bridge je cross-chain bridge (software, který umožňuje uživatelům přesouvat tokeny z jednoho blockchainu do druhého) spojující Ethereum se sítí interoperabilních řetězců Cosmos. Je postaven na Cosmos SDK a funguje na modelu lock-and-mint. Zde je token uzamčen na jednom řetězci a ekvivalentní reprezentace je vyražena na druhém, poté spálena a vyplacena, když se uživatel vrátí zpět.
Místo toho, aby se spoléhal na malou peněženku s více podpisy nebo na skupinu operátorů s oprávněním, používá Gravity Bridge svou sadu validátorů k podepisování transakcí mezi řetězci, což je design, který má za cíl zvýšit decentralizaci a ztížit kompromitaci. Tato architektura však mosty nečiní imunními vůči útokům, protože z konstrukčního hlediska drží velké zásoby uzamčených aktiv, což z nich dělá jedny z nejlukrativnějších cílů v decentralizovaném financování (DeFi). Jediná chyba v jejich validační logice může odemknout vše najednou.
Krutý rok pro mezireťazcové mosty
Incident s Gravity Bridge přichází uprostřed náročného období pro mezireťazcovou infrastrukturu, vzhledem k tomu, že Bitcoin.com News nedávno informoval, že zneužití mostů vyčerpalo více než 328 milionů dolarů v osmi samostatných incidentech pouze do poloviny května 2026.
Tento trend byl po celý rok neúprosný. 18. května útočníci odčerpali asi 11,5 milionu dolarů z mostu Verus-Ethereum, přičemž pachatel byl před krádeží financován prostřednictvím Tornado Cash. Následně v dubnu podezřelý útok odčerpal odhadem více než 200 milionů dolarů z protokolu Drift, zatímco samostatné narušení odčerpalo 116 500 rsETH z adaptéru Layerzero
společnosti KelpDAO, čímž vystavilo úvěrové trhy potenciálním nedobytným pohledávkám.Hromadí se i menší útoky, včetně útoku typu flash loan na most Shibarium, při kterém došlo ke ztrátě 2,4 milionu dolarů. Vše nasvědčuje tomu, že se nejedná o sérii smůly, ale o strukturální problém. Mosty musí sladit odlišné bezpečnostní modely dvou řetězců a kód, který ověřuje vklady a výběry, se opakovaně ukázal jako nejslabší článek (ať už kvůli chybějícím ověřovacím kontrolám, kompromitovaným klíčům nebo nedostatkům v řízení).
Odhadování dalších kroků
Okamžitou otázkou je, kolik z ukradených 5,4 milionu dolarů lze získat zpět. Vzhledem k tomu, že útočník stále drží zhruba 4,23 milionu dolarů v ETH, mají burzy a analytické firmy šanci tyto prostředky označit a zmrazit, a protokoly stále častěji využívají veřejný tlak a zprávy v řetězci k vyjednání vrácení prostředků. Hacker Verus například nakonec vrátil 8,5 milionu dolarů, přičemž si v rámci dohody o navrácení ponechal odměnu ve výši 2,8 milionu dolarů.
Prozatím budou uživatelé Gravity Bridge čekat na oficiální zprávu o incidentu, která podrobně popíše příčinu a případný plán na odškodnění postižených vkladatelů. Dokud mosty nevyřeší slabiny v ověřování, které se stále objevují, zůstanou nejdůležitější spojovací články multichainové ekonomiky pravděpodobně i nadále těmi, které jsou nejčastěji okrádány.
