Međulančani protokol Gravity Bridge ispražnjen je za otprilike 5,4 milijuna dolara 30. svibnja, pri čemu je napadač navodno dio plijena provukao kroz Binance i Changenow, izvijestila je tvrtka za sigurnost blockchaina Peckshield.
Gravity Bridge ispražnjen za 5,4 milijuna dolara dok haker preusmjerava ukradena sredstva preko Binancea
NAPISAO
PODIJELI
Ključne poruke
Sredstva preusmjerena kroz Binance i ChangeNow
Gravity Bridge, protokol koji premješta tokene između Ethereuma i ekosustava Cosmos, izgubio je oko 5,4 milijuna dolara u novom napadu koji je označila tvrtka za sigurnost blockchaina Peckshield. Ukradena imovina uključivala je otprilike 4,3 milijuna dolara u USD Coinu (USDC), 274 ethera (ETH) vrijedna oko 553.000 dolara, 434.000 dolara u tetheru (USDT) te 14.164 PAYG tokena procijenjenih na oko 64.000 dolara.
Napadač nije gubio vrijeme s premještanjem prihoda. Prema Peckshieldovoj procjeni, dio plijena već je opran preko Changenowa, ne-skrbničke usluge zamjene, i Binancea, najveće svjetske kriptomjenjačnice po obujmu trgovanja. U trenutku upozorenja eksploatator je još uvijek držao oko 2.102 ETH vrijedna približno 4,23 milijuna dolara, što sugerira da je glavnina ukradene vrijednosti ostala onchain i potencijalno pratljiva.
Provođenje sredstava kroz centraliziranu mjenjačnicu poput Binancea može prekinuti trag miješanjem ukradenih kovanica s legitimnom likvidnošću, ali također izlaže sredstva riziku zamrzavanja ako tim za usklađenost platforme brzo reagira. Usluge zamjene poput ChangeNowa često se koriste za pretvaranje imovine u teže pratljive tokene prije nego što stignu na mjenjačnicu.
Što radi Gravity Bridge
Gravity Bridge je međulančani most (softver koji korisnicima omogućuje premještanje tokena s jednog blockchaina na drugi), koji povezuje Ethereum s Cosmos mrežom interoperabilnih lanaca. Izgrađen na Cosmos SDK-u, radi prema modelu zaključaj-i-iskuji. Ovdje se token zaključava na jednom lancu, a ekvivalentna reprezentacija iskuje na drugom, zatim se spaljuje i otkupljuje kada korisnik premosti natrag.
Umjesto oslanjanja na mali višepotpisni novčanik ili dopuštenu skupinu operatera, Gravity Bridge koristi svoj skup validatora za potpisivanje međulančanih transakcija, dizajn koji bi ga trebao učiniti decentraliziranijim i težim za kompromitiranje. Ta arhitektura nije učinila mostove imunima na napade jer, budući da po dizajnu drže velike bazene zaključane imovine, pretvaraju se u neke od najunosnijih meta u decentraliziranim financijama (DeFi). Jedna jedina greška u njihovoj logici validacije može odjednom otključati sve.
Brutalna godina za međulančane mostove
Incident s Gravity Bridgeom dogodio se usred kažnjavajućeg razdoblja za međulančanu infrastrukturu, s obzirom na to da je Bitcoin.com News nedavno izvijestio da su napadi na mostove isisali više od 328 milijuna dolara kroz osam odvojenih incidenata samo do sredine svibnja 2026.
Obrazac je bio nemilosrdan tijekom cijele godine. Dana 18. svibnja napadači su isisali oko 11,5 milijuna dolara iz Verus-Ethereum mosta, pri čemu je počinitelj prije krađe bio financiran preko Tornado Casha. Nakon toga, u travnju je sumnjiva eksploatacija izvukla procijenjenih više od 200 milijuna dolara iz Drift Protocola, dok je zasebno narušavanje sigurnosti ispraznilo 116.500 rsETH iz KelpDAO-ovog Layerzero adaptera, izlažući tržišta posudbe potencijalnom lošem dugu.
Manji udarci također su se nagomilali, uključujući flash-loan napad od 2,4 milijuna dolara na Shibarium most. U svemu ovome, ponavljanje upućuje na strukturni problem, a ne na niz loše sreće. Mostovi trebaju uskladiti različite sigurnosne modele dvaju lanaca, a kod koji provjerava uplate i isplate iznova se pokazao najslabijom karikom (bilo zbog nedostajućih provjera validacije, kompromitiranih ključeva ili propusta u upravljanju).
Pogađanje poteza koji slijede
Neposredno pitanje jest koliko se od ukradenih 5,4 milijuna dolara može vratiti. Budući da napadač još uvijek sjedi na približno 4,23 milijuna dolara u ETH-u, mjenjačnice i analitičke tvrtke imaju vremenski prozor da označe i zamrznu sredstva, a protokoli sve više koriste javni pritisak i onchain poruke kako bi pregovarali o povratu. Verusov haker, primjerice, na kraju je vratio 8,5 milijuna dolara dok je zadržao nagradu od 2,8 milijuna dolara u okviru dogovora o povratu.
Za sada će korisnici Gravity Bridgea pratiti hoće li se pojaviti službeno izvješće o incidentu koje detaljno navodi temeljni uzrok i bilo kakav plan za nadoknadu pogođenim deponentima. Dok mostovi ne riješe slabosti validacije koje se stalno pojavljuju, najvažniji konektori multilančane ekonomije vjerojatno će ostati i njezine najčešće opljačkane mete.
