Det kedjeöverskridande protokollet Gravity Bridge blev bestulen på cirka 5,4 miljoner dollar den 30 maj, och enligt uppgift ska angriparen ha fört över en del av bytet via Binance och Changenow, rapporterar blockkedjesäkerhetsföretaget Peckshield.
Gravity Bridge har förlorat 5,4 miljoner dollar efter att en hackare fört över de stulna medlen via Binance
SKRIVEN AV
DELA
Huvudpunkter
Medel dirigerade via Binance och ChangeNow
Gravity Bridge, ett protokoll som flyttar tokens mellan Ethereum och Cosmos-ekosystemet, förlorade cirka 5,4 miljoner dollar i en ny attack som upptäcktes av blockkedjesäkerhetsföretaget Peckshield. De stulna tillgångarna omfattade ungefär 4,3 miljoner dollar i USD Coin (USDC), 274 ether (ETH) värda cirka 553 000 dollar, 434 000 dollar i tether (USDT) och 14 164 PAYG-tokens värda nära 64 000 dollar.
Angriparen slösade ingen tid på att flytta utbyttet. Enligt Peckshields bedömning har en del av bytet redan tvättats via Changenow, en icke-förvarande swaptjänst, och Binance, världens största kryptovalutabörs sett till handelsvolym. Vid tidpunkten för varningen innehade angriparen fortfarande cirka 2 102 ETH till ett värde av ungefär 4,23 miljoner dollar, vilket tyder på att huvuddelen av det stulna värdet fortfarande fanns kvar på blockkedjan och potentiellt kunde spåras.
Att skicka medel via en centraliserad börs som Binance kan dölja spåren genom att blanda stulna mynt med legitim likviditet, men det utsätter också medlen för frysning om plattformens compliance-team agerar snabbt. Swaptjänster som ChangeNow används ofta för att konvertera tillgångar till svårare att spåra tokens innan de når en börs.
Vad Gravity Bridge gör
Gravity Bridge är en kedjeöverskridande brygga (programvara som låter användare flytta tokens från en blockkedja till en annan) som kopplar samman Ethereum med Cosmos-nätverket av interoperabla kedjor. Den är byggd på Cosmos SDK och fungerar enligt en lock-and-mint-modell. Här låses en token på en kedja och en motsvarande representation skapas på den andra, för att sedan brännas och lösas in när användaren går tillbaka.
I stället för att förlita sig på en liten plånbok med flera signaturer eller en behörig grupp av operatörer använder Gravity Bridge sin valideringsuppsättning för att signera kedjeöverskridande transaktioner, en design som är avsedd att göra den mer decentraliserad och svårare att kompromettera. Den arkitekturen har inte gjort broarna immuna mot attacker eftersom de, enligt designen, innehar stora pooler av låsta tillgångar, vilket gör dem till några av de mest lukrativa målen inom decentraliserad finans (DeFi). En enda brist i deras valideringslogik kan låsa upp allt på en gång.
Ett brutalt år för kedjeöverskridande bryggor
Gravity Bridge-incidenten inträffar mitt i en tuff period för infrastrukturen för kedjeöverskridande transaktioner, med tanke på att Bitcoin.com News nyligen rapporterade att utnyttjande av bryggor tömde mer än 328 miljoner dollar i åtta separata incidenter enbart fram till mitten av maj 2026.
Mönstret har varit obevekligt under hela året. Den 18 maj tömde angripare cirka 11,5 miljoner dollar från Verus-Ethereum-bron, där gärningsmannen finansierades via Tornado Cash före stölden. Därefter, i april, drog en misstänkt attack uppskattningsvis över 200 miljoner dollar ur Drift Protocol, medan en separat säkerhetsöverträdelse tömde 116 500 rsETH från KelpDAO:s Layerzero-adapter
, vilket utsatte lånemarknaderna för potentiella osäkra fordringar.Mindre incidenter har också hopat sig, inklusive en flash-loan-attack på 2,4 miljoner dollar mot Shibarium-bron. I allt detta pekar upprepningarna på ett strukturellt problem snarare än en rad olyckliga händelser. Broar måste förena de olika säkerhetsmodellerna hos två kedjor, och koden som verifierar insättningar och uttag har upprepade gånger visat sig vara den svagaste länken (vare sig det gäller saknade valideringskontroller, komprometterade nycklar eller brister i styrningen).
Gissa nästa drag
Den omedelbara frågan är hur mycket av de stulna 5,4 miljonerna dollar som kan återvinnas. Eftersom angriparen fortfarande sitter på ungefär 4,23 miljoner dollar i ETH har börser och analysföretag en möjlighet att flagga och frysa medlen, och protokoll använder i allt högre grad allmänhetens påtryckningar och on-chain-meddelanden för att förhandla om återbetalningar. Verus-hackaren återlämnade till exempel slutligen 8,5 miljoner dollar samtidigt som han behöll en belöning på 2,8 miljoner dollar enligt ett återvinningsavtal.
För närvarande väntar Gravity Bridge-användarna på en officiell incidentrapport som redogör för den bakomliggande orsaken och eventuella planer på att ersätta drabbade insättare. Tills bryggorna löser de valideringssvagheter som ständigt dyker upp kommer multichain-ekonomins viktigaste kopplingar sannolikt att förbli de som oftast utsätts för stöld.
