פרוטוקול הקרוס-צ’יין Gravity Bridge נפרץ ונשדד בכ־5.4 מיליון דולר ב־30 במאי, כאשר לפי הדיווחים התוקף העביר חלק מהשלל דרך Binance ו‑Changenow, כך מסרה חברת אבטחת הבלוקצ’יין Peckshield.
גשר Gravity נרוקן מ־5.4 מיליון דולר כאשר האקר מנתב את הכספים שנגנבו דרך Binance
נכתב ע"י
שתף
עיקרי הדברים
הכספים הועברו דרך Binance ו‑ChangeNow
Gravity Bridge, פרוטוקול שמעביר טוקנים בין את’ריום לבין מערכת האקוסיסטם של Cosmos, איבד כ־5.4 מיליון דולר בניצול חדש שסומן על ידי חברת אבטחת הבלוקצ’יין Peckshield. הנכסים שנגנבו כללו כ־4.3 מיליון דולר ב‑USD Coin (USDC), 274 את’ר (ETH) בשווי של כ־553,000 דולר, 434,000 דולר ב‑tether (USDT) ו‑14.164 טוקני PAYG בשווי מוערך של כ־64,000 דולר.
התוקף לא בזבז זמן רב בהעברת ההכנסות. לפי הערכת Peckshield, חלק מהשלל כבר הולבן דרך Changenow, שירות החלפה לא משמורני, ו‑Binance, בורסת הקריפטו הגדולה בעולם לפי נפח מסחר. נכון למועד ההתראה, המנצל עדיין החזיק כ־2,102 ETH בשווי של כ־4.23 מיליון דולר, מה שמרמז שעיקר הערך שנגנב נותר און-צ’יין וייתכן שניתן להתחקות אחריו.
העברת כספים דרך בורסה מרכזית כמו Binance יכולה לקטוע את השביל באמצעות ערבוב מטבעות גנובים עם נזילות לגיטימית, אך היא גם חושפת את הכספים להקפאות אם צוות הציות של הפלטפורמה פועל במהירות. שירותי החלפה כמו ChangeNow משמשים לעיתים להמרת נכסים לטוקנים שקשה יותר להתחקות אחריהם לפני שהם מגיעים לבורסה.
מה Gravity Bridge עושה
Gravity Bridge הוא גשר קרוס-צ’יין (תוכנה שמאפשרת למשתמשים להעביר טוקנים מבלוקצ’יין אחד לאחר), המחבר את את’ריום עם רשת ה‑Cosmos של שרשראות הניתנות לשילוב הדדי. הוא נבנה על גבי Cosmos SDK ופועל במודל של נעילה והטבעה (lock-and-mint). כאן, טוקן ננעל בשרשרת אחת וייצוג שקול מוטבע בשרשרת השנייה, ולאחר מכן נשרף ונפדה כאשר המשתמש מגשר חזרה.
במקום להסתמך על ארנק מולטי-סיג קטן או על קבוצת מפעילים מורשית, Gravity Bridge משתמש בסט הוולידטורים שלו כדי לחתום על עסקאות קרוס-צ’יין — תכנון שנועד להפוך אותו למבוזר יותר וקשה יותר לפגיעה. הארכיטקטורה הזו לא הפכה גשרים לחסינים בפני מתקפות כי, בעיצובם, הם מחזיקים מאגרי ענק של נכסים נעולים, מה שהופך אותם לכמה מהמטרות הרווחיות ביותר במימון מבוזר (DeFi). פגם יחיד בלוגיקת האימות שלהם יכול לשחרר הכול בבת אחת.
שנה אכזרית לגשרים קרוס-צ’יין
התקרית של Gravity Bridge מתרחשת באמצע תקופה קשה במיוחד לתשתיות קרוס-צ’יין, לאחר ש‑Bitcoin.com News דיווחו לאחרונה כי ניצולים בגשרים רוקנו יותר מ־328 מיליון דולר בשמונה תקריות נפרדות עד אמצע מאי 2026 בלבד.
הדפוס היה בלתי פוסק לאורך השנה. ב־18 במאי, תוקפים רוקנו כ־11.5 מיליון דולר מה‑גשר Verus‑Ethereum, כאשר מבצע התקיפה מומן דרך Tornado Cash לפני הגניבה. בהמשך, באפריל, ניצול חשוד משך לפי ההערכות יותר מ־200 מיליון דולר מתוך Drift Protocol בעוד פריצה נפרדת רוקנה 116,500 rsETH מתוך מתאם ה‑Layerzero של KelpDAO, וחשפה שווקי הלוואות לחוב רע פוטנציאלי.
גם פגיעות קטנות יותר נערמו, כולל מתקפת הלוואת-פלאש בהיקף של 2.4 מיליון דולר על גשר Shibarium. בתוך כל זה, החזרתיות מצביעה על בעיה מבנית יותר מאשר רצף של מזל רע. גשרים צריכים ליישב בין מודלי האבטחה השונים של שתי שרשראות, והקוד שמאמת הפקדות ומשיכות הוכיח שוב ושוב שהוא החוליה החלשה ביותר (בין אם בשל בדיקות אימות חסרות, מפתחות שנפרצו או פגמי ממשל).
ניחוש המהלכים הבאים
השאלה המיידית היא כמה מתוך 5.4 מיליון הדולר שנגנבו ניתן יהיה להשיב. עם התוקף שעדיין יושב על כ־4.23 מיליון דולר ב‑ETH, לבורסות ולחברות אנליטיקה יש חלון זמן לסמן ולהקפיא את הכספים, ופרוטוקולים משתמשים יותר ויותר בלחץ ציבורי ובהודעות און-צ’יין כדי לנהל משא ומתן על החזר. ההאקר של Verus, למשל, בסופו של דבר החזיר 8.5 מיליון דולר תוך שמירה על פרס בסך 2.8 מיליון דולר במסגרת הסכם השבה.
לעת עתה, משתמשי Gravity Bridge יעקבו אחר דו”ח תקרית רשמי שיפרט את סיבת השורש וכל תוכנית לפיצוי המפקידים שנפגעו. עד שגשרים יפתרו את חולשות האימות שממשיכות לצוץ, המחברים החשובים ביותר של הכלכלה הרב-שרשרתית צפויים להישאר גם אלה שנשדדים בתדירות הגבוהה ביותר.
