摘要:Gravity Bridge因签名密钥被盗导致约540万美元资产被非法提取,攻击者通过伪造授权完成跨链提款。尽管智能合约未现漏洞,但验证者控制机制暴露深层风险,资金已部分转移至中心化交易所与即时兑换平台,追回难度上升。事件凸显2026年跨链基础设施需强化授权管理与应急响应体系。
币圈界报道:
Gravity Bridge遭恶意提款:密钥泄露致逾540万美元资产外流
周六凌晨,连接以太坊与Cosmos生态的跨链桥Gravity Bridge遭遇严重安全事件,造成约540万美元资产损失。链上分析显示,此次攻击并非由智能合约缺陷引发,而是源于桥接系统中验证者签名密钥的非法获取。异常资金动向最早由分析师Specter识别,随后被PeckShield确认。初步调查显示,问题出在授权层,攻击者可能利用窃取的密钥伪造合法提款指令,绕过常规验证流程。
多类资产遭劫持,资金流向集中于单一钱包地址
据PeckShield披露,被盗资产涵盖约430万美元的USDC、价值55.3万美元的274枚封装以太币、43.4万美元的泰达币以及6.4万美元的14.16枚PAXG代币。这些资产被转入尾号为7C62da1F9的外部地址,而原受损合约地址尾号为1F2D906。Gravity Bridge团队在事件发生后迅速承认,并要求所有验证者在调查期间停止操作。后续公告明确指出,桥接服务已全面暂停,直至安全评估完成。
授权机制失效暴露跨链信任链脆弱性
本次事件将安全焦点从代码审计转向了验证者权限管理。Gravity Bridge依赖验证者对跨链交易进行签名授权,当以太坊上的资产被锁定后,对应镜像资产将在Cosmos侧生成。若攻击者掌握足够数量的有效签名密钥,即可构造看似合法的提款请求,使系统误判为真实交易。这表明即便合约逻辑经过严格审查,仍可能因人为控制环节失守而崩溃。
该攻击路径对用户风险判断提出新挑战:即使项目方已完成第三方审计,其实际运行仍受制于签名者行为、密钥存储方式及协作机制等非代码层面因素。对于依赖跨链服务的生态系统而言,一旦授权体系被攻破,不仅影响封装资产和流动性池,更可能波及整个去中心化金融网络的稳定性。目前完整技术报告尚未发布,具体入侵路径仍在排查中。
资金快速洗白,追踪窗口正逐步关闭
攻击者在完成提款后迅速展开资金清洗。PeckShield监测发现,部分被盗资产已通过ChangeNow等即时兑换平台及币安交易所进行转移。截至报告时点,攻击者持有的钱包仍存有约2100枚以太币,估值约423万美元。Arkham提供的数据显示,关联地址合计持有约416万美元的以太币资产。
当前资金留存状态直接影响追回可能性:若资产仍处于可追踪钱包内,执法机构与交易平台可通过链上轨迹实施冻结。然而,一旦资产经由多次兑换、跨链转移或使用混币器处理,其来源将变得难以追溯。此类手法在过往桥接攻击中屡见不鲜——攻击者优先切断资金与原始攻击地址之间的直接联系,而防御方则依赖公开交易记录与交易所合作进行拦截。
2026年跨链安全范式面临重构压力
尽管此次损失低于年内部分大型桥接事件,但其揭示的问题具有普遍意义:安全风险正从“代码缺陷”转向“授权体系失控”。研究者普遍指出,未来跨链协议的安全评估应超越传统审计范畴,重点考察密钥托管机制、签名者多样性、提款频率限制、额度上限、实时监控能力及紧急停机流程。
当前正值加密领域攻击频发期,跨链桥因其汇聚高价值资产的特性,持续成为攻击重点。由Althea团队主导开发、依托原生代币Graviton提供安全保障的Gravity Bridge,目前仍处于服务暂停状态。最终的技术复盘报告将验证签名密钥泄露假设,并决定是否需要对现有验证者模型进行根本性调整以恢复运营。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。