跨链协议 Gravity Bridge 周末遭遇安全漏洞,预计损失 540 万美元。初步调查表明,可能的原因是协议签名密钥的泄露。
据区块链调查员 Spectre 称,此次攻击发生在 5 月 31 日星期六,涉及通过受损的加密密钥进行未经授权的访问。这种类型的违规行为允许攻击者伪造授权并非法转移资金。据报道,被盗资产包括 430 万美元的 USDC、274 个打包的以太币(价值约 553,000 美元)、434,000 美元的 USDT 和 14.16 个 PAXG 代币,价值约 64,000 美元。
安全公司 PeckShield 报告称,攻击者已开始通过 ChangeNOW 和 Binance 等交易所对部分被盗资金进行洗钱。该公司还指出,攻击者仍然持有 2,100 多个以太币,价值约 423 万美元。
Gravity Bridge 团队确认了这一事件,并建议验证者和协调者在调查进行期间停止操作。该团队在社交媒体更新中表示:“由于验证者的迅速行动,该桥目前已停止运行,调查仍在继续。”
重力桥的运作方式是锁定以太坊上的代币并在 Cosmos 网络上铸造等价资产,依靠验证者签名来批准交易。这种设计意味着任何使用有效密钥签名的交易都被视为合法,因此密钥安全至关重要。
如果确认为关键妥协,则这种攻击遵循跨链桥漏洞利用中常见的模式,其中漏洞通常存在于访问控制和密钥管理中,而不是存在于核心智能合约代码中。这一事件是 2026 年一系列重大 DeFi 泄露事件的又一事件,其中包括针对 Kelp DAO 的价值 2.92 亿美元的著名攻击。 TRM Labs 最近的一份报告指出,2026 年 4 月是此类漏洞利用的高峰月份,突显了加密行业内持续存在的安全挑战。