Het cross-chain-protocol Gravity Bridge is op 30 mei voor ongeveer 5,4 miljoen dollar leeggeroofd; de aanvaller zou een deel van de buit via Binance en Changenow hebben doorgesluisd, zo meldt blockchainbeveiligingsbedrijf Peckshield.
Gravity Bridge is voor 5,4 miljoen dollar leeggeroofd nadat een hacker het gestolen geld via Binance heeft doorgesluisd
GESCHREVEN DOOR
DELEN
Belangrijkste punten
Geld gesluisd via Binance en ChangeNow
Gravity Bridge, een protocol dat tokens verplaatst tussen Ethereum en het Cosmos-ecosysteem, verloor ongeveer 5,4 miljoen dollar bij een nieuwe exploit die werd gesignaleerd door blockchainbeveiligingsbedrijf Peckshield. De gestolen activa omvatten ongeveer $4,3 miljoen aan USD Coin (USDC), 274 ether (ETH) ter waarde van ongeveer $553.000, $434.000 aan tether (USDT) en 14.164 PAYG-tokens met een waarde van bijna $64.000.
De aanvaller verspilde weinig tijd met het verplaatsen van de opbrengst. Volgens de beoordeling van Peckshield is een deel van de buit al witgewassen via Changenow, een non-custodial swapdienst, en Binance, 's werelds grootste cryptocurrency-exchange qua handelsvolume. Op het moment van de waarschuwing had de aanvaller nog steeds ongeveer 2.102 ETH in bezit ter waarde van ongeveer 4,23 miljoen dollar, wat suggereert dat het grootste deel van de gestolen waarde op de blockchain is gebleven en mogelijk traceerbaar is.
Het doorsturen van geld via een gecentraliseerde beurs zoals Binance kan het spoor doen verdwijnen door gestolen munten te vermengen met legitieme liquiditeit, maar het stelt het geld ook bloot aan bevriezing als het compliance-team van het platform snel handelt. Swapservices zoals ChangeNow worden vaak gebruikt om activa om te zetten in moeilijker te traceren tokens voordat ze een beurs bereiken.
Wat Gravity Bridge doet
Gravity Bridge is een cross-chain bridge (software waarmee gebruikers tokens van de ene blockchain naar de andere kunnen verplaatsen), die Ethereum verbindt met het Cosmos-netwerk van interoperabele chains. Het is gebouwd op de Cosmos SDK en werkt volgens een lock-and-mint-model. Hierbij wordt een token op de ene chain vergrendeld en wordt een gelijkwaardige vertegenwoordiging op de andere geslagen, die vervolgens wordt verbrand en ingewisseld wanneer de gebruiker terugbrugt.
In plaats van te vertrouwen op een kleine multi-signature wallet of een groep van operators met toestemming, gebruikt Gravity Bridge zijn validatorset om cross-chain transacties te ondertekenen, een ontwerp dat bedoeld is om het meer gedecentraliseerd en moeilijker te compromitteren te maken. Die architectuur heeft bruggen niet immuun gemaakt voor aanvallen omdat ze, door hun ontwerp, grote pools van vergrendelde activa bevatten, waardoor ze enkele van de meest lucratieve doelen in gedecentraliseerde financiering (DeFi) worden. Een enkele fout in hun validatielogica kan alles in één keer ontgrendelen.
Een zwaar jaar voor cross-chain bridges
Het Gravity Bridge-incident komt midden in een zware periode voor cross-chain-infrastructuur, aangezien Bitcoin.com News onlangs meldde dat bridge-exploits alleen al tot half mei 2026 meer dan 328 miljoen dollar hebben weggehaald in acht afzonderlijke incidenten.
Dit patroon heeft zich het hele jaar door onverbiddelijk voortgezet. Op 18 mei hebben aanvallers ongeveer 11,5 miljoen dollar weggehaald uit de Verus-Ethereum-bridge, waarbij de dader vóór de diefstal via Tornado Cash werd gefinancierd. Vervolgens haalde een vermoedelijke exploit in april naar schatting meer dan 200 miljoen dollar weg uit het Drift Protocol, terwijl een afzonderlijke inbreuk 116.500 rsETH wegsloeg uit de Layerzero-adapter
van KelpDAO, waardoor kredietmarkten werden blootgesteld aan potentiële oninbare vorderingen.Ook kleinere incidenten hebben zich opgestapeld, waaronder een flash-loan-aanval van 2,4 miljoen dollar op de Shibarium-bridge. Al deze herhalingen wijzen op een structureel probleem in plaats van een reeks pechgevallen. Bridges moeten de verschillende beveiligingsmodellen van twee ketens met elkaar in overeenstemming brengen, en de code die stortingen en opnames verifieert, is herhaaldelijk de zwakste schakel gebleken (hetzij door ontbrekende validatiecontroles, gecompromitteerde sleutels of tekortkomingen in het beheer).
De volgende stappen voorspellen
De directe vraag is hoeveel van de gestolen 5,4 miljoen dollar kan worden teruggevorderd. Aangezien de aanvaller nog steeds ongeveer 4,23 miljoen dollar aan ETH in bezit heeft, hebben beurzen en analysebedrijven de kans om de fondsen te markeren en te bevriezen, en maken protocollen steeds vaker gebruik van publieke druk en on-chain-berichten om over teruggave te onderhandelen. De Verus-hacker heeft bijvoorbeeld uiteindelijk 8,5 miljoen dollar teruggegeven, terwijl hij een beloning van 2,8 miljoen dollar behield in het kader van een terugvorderingsovereenkomst.
Voorlopig zullen gebruikers van Gravity Bridge uitkijken naar een officieel incidentrapport met daarin de oorzaak en een plan om de getroffen deposanten te vergoeden. Totdat bridges de validatiezwakheden oplossen die steeds weer de kop opsteken, zullen de belangrijkste verbindingen van de multichain-economie waarschijnlijk het vaakst worden beroofd.
