A Peckshield blokklánc-biztonsági cég jelentése szerint május 30-án körülbelül 5,4 millió dollárt sikkasztottak el a Gravity Bridge láncok közötti protokollból; a támadó a zsákmány egy részét állítólag a Binance és a Changenow platformokon keresztül mosatta tisztára.
A Gravity Bridge-től 5,4 millió dollárt csaltak ki, miután egy hacker a Binance-en keresztül irányította át a lopott pénzt
ÍRTA
MEGOSZTÁS
Főbb megállapítások
A pénzeszközök a Binance-en és a ChangeNow-on keresztül kerültek átutalásra
A Gravity Bridge, egy olyan protokoll, amely tokeneket mozgat az Ethereum és a Cosmos ökoszisztéma között, körülbelül 5,4 millió dollárt vesztett egy friss támadásban, amelyet a Peckshield blokklánc-biztonsági cég jelzett. Az ellopott eszközök között volt körülbelül 4,3 millió dollárnyi USD Coin (USDC), 274 ether (ETH) körülbelül 553 000 dollár értékben, 434 000 dollárnyi tether (USDT) és 14 164 PAYG token, amelyek értéke megközelítette a 64 000 dollárt.
A támadó nem vesztegette az időt a zsákmány átutalásával. A Peckshield értékelése szerint a zsákmány egy részét már tisztára mosták a Changenow-n, egy nem letéti swap szolgáltatáson, valamint a Binance-en, a világ legnagyobb forgalmú kriptovaluta-tőzsdéjén keresztül. A riasztás időpontjában a támadó még mindig körülbelül 2 102 ETH-t tartott, ami nagyjából 4,23 millió dollár értéknek felel meg, ami arra utal, hogy a lopott érték nagy része a blokkláncon maradt, és potenciálisan nyomon követhető.
A pénzeszközök egy olyan központosított tőzsdén keresztül történő továbbítása, mint a Binance, megszakíthatja a nyomokat azáltal, hogy az ellopott érméket keveri a törvényes likviditással, de egyúttal kiteszi a pénzeszközöket a befagyasztás veszélyének, ha a platform megfelelési csapata gyorsan cselekszik. Az olyan csere szolgáltatásokat, mint a ChangeNow, gyakran használják arra, hogy az eszközöket nehezebben nyomon követhető tokenekké alakítsák át, mielőtt azok eljutnának egy tőzsdére.
Mit csinál a Gravity Bridge
A Gravity Bridge egy láncok közötti híd (olyan szoftver, amely lehetővé teszi a felhasználók számára, hogy tokeneket mozgassanak egyik blokkláncról a másikra), amely összeköti az Ethereumot a Cosmos interoperábilis láncok hálózatával. A Cosmos SDK-ra épül, és lock-and-mint modell szerint működik. Itt egy tokenet lezárnak az egyik láncon, és egy azzal egyenértékű tokenet vernek a másikra, majd azt elégetik és visszaváltják, amikor a felhasználó visszatér a hídra.
Ahelyett, hogy egy kis, több aláírásos pénztárcára vagy egy engedélyezett üzemeltetői csoportra támaszkodna, a Gravity Bridge a validátor-készletét használja a láncok közötti tranzakciók aláírására, ami egy olyan kialakítás, amelynek célja, hogy decentralizáltabbá és nehezebben feltörhetővé tegye a rendszert. Ez az architektúra nem tette a hidakat támadásokkal szemben immunissá, mert kialakításuknál fogva nagy mennyiségű zárolt eszközt tárolnak, ami a decentralizált pénzügyek (DeFi) egyik legjövedelmezőbb célpontjává teszi őket. A validációs logikájukban egyetlen hiba is elég ahhoz, hogy egyszerre mindent feloldjon.
Kegyetlen év a láncok közötti hidak számára
A Gravity Bridge incidens a láncok közötti infrastruktúra számára rendkívül nehéz időszak közepén történt, mivel a Bitcoin.com News nemrég arról számolt be, hogy a hidak kihasználásával csak 2026 május közepéig nyolc különálló incidens során több mint 328 millió dollárt sikkasztottak el.
Ez a tendencia egész évben folyamatos volt. Május 18-án a támadók körülbelül 11,5 millió dollárt szereztek meg a Verus-Ethereum hídból, a tettes pedig a lopás előtt a Tornado Cash-en keresztül finanszírozta magát. Ezt követően, áprilisban, egy feltételezett támadás során becslések szerint több mint 200 millió dollárt szereztek meg a Drift Protocolból, míg egy másik támadás során 116 500 rsETH-t szereztek meg a KelpDAO Layerzero adapter
éből, ami a hitelezési piacokat potenciális rossz adósságoknak tette ki.Kisebb támadások is felhalmozódtak, beleértve egy 2,4 millió dolláros flash-loan támadást a Shibarium hídon. Mindezekben az ismétlődés inkább strukturális problémára utal, mint szerencsétlenség sorozatára. A hidaknak össze kell hangolniuk a két lánc eltérő biztonsági modelljeit, és a betéteket és kifizetéseket ellenőrző kód többször is a leggyengébb láncszemnek bizonyult (akár hiányzó érvényesítési ellenőrzések, kompromittált kulcsok, akár irányítási hibák miatt).
A jövőbeli lépések kitalálása
A legfontosabb kérdés az, hogy a lopott 5,4 millió dollárból mennyit lehet visszaszerezni. Mivel a támadó még mindig körülbelül 4,23 millió dollárnyi ETH-val rendelkezik, a tőzsdéknek és az elemző cégeknek van egy kis idejük a pénzeszközök jelzésére és befagyasztására, és a protokollok egyre inkább a nyilvános nyomást és a láncon belüli üzeneteket használják a visszatérítésről való tárgyaláshoz. A Verus hacker például végül 8,5 millió dollárt adott vissza, miközben egy visszaszerzési megállapodás keretében megtartotta a 2,8 millió dolláros jutalmat.
Egyelőre a Gravity Bridge felhasználói várják a hivatalos incidensjelentést, amely részletezi a kiváltó okot és az érintett betétesek kártalanítására vonatkozó tervet. Amíg a hidak nem oldják meg a folyamatosan felmerülő validációs gyengeségeket, a multichain gazdaság legfontosabb összekötő elemei valószínűleg továbbra is a leggyakrabban kirabolt célpontok maradnak.
