Den tværkædede protokol Gravity Bridge blev den 30. maj udsat for et tyveri på omkring 5,4 millioner dollars, hvor angriberen angiveligt har kanaliseret en del af byttet gennem Binance og Changenow, rapporterer blockchain-sikkerhedsfirmaet Peckshield.
Gravity Bridge har mistet 5,4 millioner dollar, efter at en hacker har omdirigeret de stjålne midler via Binance
SKREVET AF
DEL
Hovedpunkter
Midlerne blev dirigeret gennem Binance og ChangeNow
Gravity Bridge, et protokol, der flytter tokens mellem Ethereum og Cosmos-økosystemet, mistede omkring 5,4 millioner dollar i et nyt angreb, der blev opdaget af blockchain-sikkerhedsfirmaet Peckshield. De stjålne aktiver omfattede ca. 4,3 millioner dollar i USD Coin (USDC), 274 ether (ETH) til en værdi af ca. 553.000 dollar, 434.000 dollar i tether (USDT) og 14.164 PAYG-tokens til en værdi af næsten 64.000 dollar.
Angriberen spildte ikke tiden med at flytte udbyttet. Ifølge Peckshields vurdering er en del af byttet allerede blevet hvidvasket gennem Changenow, en ikke-depotbaseret swap-tjeneste, og Binance, verdens største kryptovalutabørs målt på handelsvolumen. På tidspunktet for alarmen sad udnytteren stadig på ca. 2.102 ETH til en værdi af ca. 4,23 millioner dollars, hvilket tyder på, at hovedparten af den stjålne værdi forblev på blockchainen og potentielt kan spores.
At sende midler gennem en centraliseret børs som Binance kan bryde sporet ved at blande stjålne mønter med legitim likviditet, men det udsætter også midlerne for indefrysning, hvis platformens compliance-team handler hurtigt. Swap-tjenester som ChangeNow bruges ofte til at konvertere aktiver til tokens, der er sværere at spore, inden de når en børs.
Hvad Gravity Bridge gør
Gravity Bridge er en cross-chain-bro (software, der lader brugere flytte tokens fra en blockchain til en anden), der forbinder Ethereum med Cosmos-netværket af interoperable kæder. Bygget på Cosmos SDK fungerer det efter en lock-and-mint-model. Her låses et token på den ene kæde, og en tilsvarende repræsentation udstedes på den anden, hvorefter den brændes og indløses, når brugeren broer tilbage.
I stedet for at stole på en lille multi-signatur-tegnebog eller en godkendt gruppe af operatører bruger Gravity Bridge sit valideringssæt til at underskrive krydskædetransaktioner, et design, der skal gøre det mere decentraliseret og sværere at kompromittere. Den arkitektur har ikke gjort broer immune over for angreb, fordi de af design indeholder store puljer af låste aktiver, hvilket gør dem til nogle af de mest lukrative mål inden for decentraliseret finansiering (DeFi). En enkelt fejl i deres valideringslogik kan låse alt op på én gang.
Et brutalt år for tværkædebroer
Gravity Bridge-hændelsen finder sted midt i en hård periode for krydskædeinfrastrukturen, da Bitcoin.com News for nylig rapporterede, at udnyttelse af broer drænede mere end 328 millioner dollars i otte separate hændelser alene frem til midten af maj 2026.
Mønsteret har været ubarmhjertigt gennem hele året. Den 18. maj drænede angribere omkring 11,5 millioner dollars fra Verus-Ethereum-broen, hvor gerningsmanden blev finansieret gennem Tornado Cash før tyveriet. Efterfølgende, i april, trak et formodet angreb anslået mere end 200 millioner dollars ud af Drift Protocol, mens et separat brud drænede 116.500 rsETH fra KelpDAO's Layerzero-adapter
, hvilket udsatte lånemarkederne for potentiel dårlig gæld.Mindre angreb har også hobet sig op, herunder et flash-loan-angreb på 2,4 millioner dollars på Shibarium-broen. Alt i alt peger gentagelserne på et strukturelt problem snarere end en række uheld. Broer skal forene de to kæders forskellige sikkerhedsmodeller, og den kode, der verificerer indskud og udbetalinger, har gentagne gange vist sig at være det svageste led (hvad enten det skyldes manglende valideringskontroller, kompromitterede nøgler eller styringsfejl).
Gæt på de kommende træk
Det umiddelbare spørgsmål er, hvor meget af de stjålne 5,4 millioner dollars der kan inddrives. Da angriberen stadig sidder på ca. 4,23 millioner dollars i ETH, har børser og analysefirmaer en mulighed for at markere og indefryse midlerne, og protokoller bruger i stigende grad offentlig pres og onchain-beskeder til at forhandle om tilbagelevering. Verus-hackeren returnerede for eksempel i sidste ende 8,5 millioner dollars, mens han beholdt en dusør på 2,8 millioner dollars som led i en genopretningsaftale.
Foreløbig vil Gravity Bridge-brugere holde øje med en officiel hændelsesrapport, der beskriver årsagen og eventuelle planer for at refundere de berørte indskydere. Indtil broerne løser de valideringssvagheder, der hele tiden dukker op, vil multichain-økonomiens vigtigste forbindelsesled sandsynligvis fortsat være dem, der oftest bliver røvet.
