周六早些时候,Gravity Bridge(一种促进以太坊和 Cosmos 之间资产转移的跨链协议)被利用,损失了约 540 万美元。安全研究人员表示,此次攻击可能源于验证器签名密钥受损,而不是协议智能合约代码中的缺陷。
链上分析师 Spectre 首先发现了异常资金外流,随后安全公司 PeckShield 证实了这一点。根据他们的分析,攻击者控制了桥的签名授权,从而实现了一系列未经授权的桥合约提款。
PeckShield 详细列出了被盗资金的详细信息,其中包括约 430 万美元的 USDC、274 个价值约 553,000 美元的包装以太坊 (wETH)、约 434,000 美元的 Tether (USDT) 和 14.16 个价值约 64,000 美元的 PAXG 代币。这些资产被转移到以“7C62da1F9”结尾的以太坊地址。
Gravity Bridge 团队在社交媒体平台 X 上承认了这一事件,并指示验证者立即停止操作。 “重力号上发生了一件不幸的事件,”该团队表示。 “在调查此事件期间,验证者应该停止其验证者和协调者。”随后的更新确认该桥当前已暂停。
PeckShield 报告称,攻击者开始通过即时交换服务 ChangeNow 和加密货币交易所 Binance 迅速洗掉部分被盗资金。截至他们报告时,被盗钱包中仍包含约 2,100 ETH,价值约 423 万美元。
重力桥使用一种模型来运行,其中代币被锁定在以太坊上,并在 Cosmos 上铸造等效的表示形式,并需要验证者签名来授权每次转移。这种架构意味着,如果攻击者获得足够的签名密钥,系统就可以被欺骗,将欺诈性提款视为合法交易。
此事件与 2026 年桥漏洞利用的持续趋势一致,其中漏洞通常存在于操作安全和密钥管理(“授权层”)中,而不是存在于经过审计的智能合约逻辑中。今年早些时候,类似的关键妥协被确定为 Kelp DAO 和 Resolv 漏洞利用的根本原因。
虽然 540 万美元的损失比今年一些重大桥梁黑客攻击要小,但它导致加密安全事件大幅增加,4 月份被标记为有记录以来遭受黑客攻击最多的月份。跨链桥仍然是一个关键的攻击媒介,占 2026 年加密货币黑客攻击造成的数十亿美元损失的很大一部分。
截至目前,Gravity Bridge 团队(包括来自 Althea 的贡献者并由原生 Graviton (GRAV) 代币保护)尚未发布详细的事后分析。密钥泄露的具体切入点和方法仍在调查中。