Medverigovni protokol Gravity Bridge je bil 30. maja oškodovan za približno 5,4 milijona dolarjev, pri čemer naj bi napadalec del ukradenega denarja preusmeril prek platform Binance in Changenow, poroča podjetje za varnost v verigi blokov Peckshield.
Gravity Bridge je izgubil 5,4 milijona dolarjev, saj je heker ukradena sredstva preusmeril prek Binance
NAPISAL
DELI
Ključne ugotovitve
Sredstva so bila preusmerjena prek Binance in ChangeNow
Gravity Bridge, protokol, ki prenaša žetone med ekosistemoma Ethereum in Cosmos, je izgubil približno 5,4 milijona dolarjev v novem izkoriščanju, ki ga je opazilo podjetje za varnost verige blokov Peckshield. Med ukradenimi sredstvi je bilo približno 4,3 milijona dolarjev v USD Coin (USDC), 274 etherjev (ETH) v vrednosti približno 553.000 dolarjev, 434.000 dolarjev v tetherju (USDT) in 14.164 tokenov PAYG v vrednosti približno 64.000 dolarjev.
Napadalec ni izgubljal časa pri premikanju iztržka. Po oceni podjetja Peckshield je bil del plena že opran prek Changenow, storitve za izmenjavo brez skrbništva, in Binance, največje borze kriptovalut na svetu po obsegu trgovanja. Ob objavi opozorila je napadalec še vedno imel v lasti približno 2.102 ETH v vrednosti okoli 4,23 milijona dolarjev, kar kaže, da je večina ukradenega premoženja ostala v verigi in je potencialno sledljiva.
Preusmerjanje sredstev prek centralizirane borze, kot je Binance, lahko prekine sled, saj se ukradeni kovanci pomešajo z zakonito likvidnostjo, vendar pa sredstva izpostavi tudi zamrznitvi, če ekipa za skladnost platforme ukrepa hitro. Storitve za menjavo, kot je ChangeNow, se pogosto uporabljajo za pretvorbo sredstev v težje sledljive žetone, preden ti dosežejo borzo.
Kaj počne Gravity Bridge
Gravity Bridge je medverigovni most (programska oprema, ki uporabnikom omogoča premikanje tokenov iz ene verige blokov v drugo), ki povezuje Ethereum z omrežjem medsebojno združljivih verig Cosmos. Zgrajen je na podlagi Cosmos SDK in deluje po modelu »lock-and-mint«. Pri tem se token zaklene na eni verigi, na drugi pa se izdela enakovredna predstavitev, ki se nato uniči in izplača, ko uporabnik ponovno vzpostavi povezavo.
Namesto da bi se zanašal na majhno denarnico z več podpisov ali na skupino operaterjev z dovoljenji, Gravity Bridge uporablja svoj nabor validatorjev za podpisovanje medverigovnih transakcij, kar je zasnova, ki naj bi ga naredila bolj decentraliziranega in težje ogroženega. Ta arhitektura mostov ni naredila imuna na napade, ker po zasnovi hranijo velike zaloge zaklenjenih sredstev, kar jih spreminja v nekatere najbolj donosne cilje v decentraliziranih financah (DeFi). En sam napaka v njihovi logiki validacije lahko naenkrat odklene vse.
Brutalno leto za medverigovne mostove
Incident z Gravity Bridge se je zgodil sredi težkega obdobja za medverigovno infrastrukturo, saj je Bitcoin.com News nedavno poročal, da so izkoriščanja mostov samo do sredine maja 2026 v osmih ločenih incidentih izčrpala več kot 328 milijonov dolarjev.
Ta vzorec se je nadaljeval neprekinjeno skozi vse leto. 18. maja so napadalci iz mostu Verus-Ethereum odnesli približno 11,5 milijona dolarjev, pri čemer je bil storilec pred krajo financiran prek Tornado Cash. Nato je aprila domnevna zloraba iz protokola Drift izčrpala več kot 200 milijonov dolarjev, medtem ko je ločen vdor iz adapterja Layerzero
KelpDAO izčrpal 116.500 rsETH, s čimer je izpostavil trge posojil potencialnim slabim dolgovom.Nabralo se je tudi več manjših udarcev, vključno z napadom s hitrim posojilom v višini 2,4 milijona dolarjev na mostu Shibarium. Vse to kaže na strukturni problem in ne na niz nesreč. Mostovi morajo uskladiti različne varnostne modele dveh verig, koda, ki preverja vplačila in izplačila, pa se je večkrat izkazala za najšibkejši člen (bodisi zaradi manjkajočih preverjanj veljavnosti, ogroženih ključev ali pomanjkljivosti v upravljanju).
Uganjanje prihodnjih potez
Najbolj pereče vprašanje je, koliko od ukradenih 5,4 milijona dolarjev je mogoče izterjati. Ker napadalec še vedno poseduje približno 4,23 milijona dolarjev v ETH, imajo borze in analitična podjetja priložnost, da sredstva označijo in zamrznejo, protokoli pa vse pogosteje uporabljajo javni pritisk in sporočila v verigi za pogajanja o vrnitvi sredstev. Heker Verus, na primer, je na koncu vrnil 8,5 milijona dolarjev, pri čemer je v okviru dogovora o izterjavi obdržal nagrado v višini 2,8 milijona dolarjev.
Za zdaj bodo uporabniki Gravity Bridge čakali na uradno poročilo o incidentu, v katerem bodo podrobno opisani vzroki in morebitni načrti za povračilo prizadetim vlagateljem. Dokler mostovi ne bodo odpravili slabosti pri preverjanju veljavnosti, ki se nenehno pojavljajo, bodo najpomembnejši povezovalci večverige verjetno ostali tudi najpogostejši cilji ropov.
