W dniu 30 maja 2026 r. doszło do naruszenia zabezpieczeń kontraktu Gravity Bridge po stronie Ethereum, które doprowadziło do nieautoryzowanego wycieku około 5,4 miliona dolarów. Śledczy prowadzeni na łańcuchu zidentyfikowali skompromitowany klucz podpisujący jako źródło problemu, co odróżnia to zdarzenie od typowych ataków na smart kontrakty. Naruszenie polegało na obejściu zabezpieczeń kodu protokołu, co umożliwiło atakującym uprzywilejowany dostęp do wypłat, które wyglądały na autoryzowane.
Pierwotny wyciek obejmował 4,3 mln USD w USDC, 274 ETH o wartości 553 000 USD, 434 000 USD w USDT oraz około 64 000 USD w tokenach PAYG. PeckShield i inne firmy zajmujące się analizą łańcucha bloków śledziły przepływ skradzionych środków poprzez serwisy peer-to-peer, w tym ChangeNow i Binance, w celu zatuszowania pochodzenia transakcji. Pomimo częściowego prania środków, dane on-chain potwierdzają, że atakujący nadal kontrolują 2 102 ETH, warte ponad 4,2 mln USD.
Gravity Bridge to rozwiązanie infrastrukturalne międzyłańcuchowe, które łączy Ethereum z ekosystemem Cosmos za pomocą IBC, ułatwiając transfery aktywów między łańcuchami. Przed wyciekiem most utrzymywał 11,5 mln USD w całkowitej wartości zablokowanej (TVL). Obserwatorzy branży zwracają uwagę na utrzymujące się podatności w architekturach mostów, zwłaszcza skoncentrowane zarządzanie kluczami, które wprowadza pojedynczy punkt awarii.
Historyczny kontekst podkreśla ciężar wycieków z mostów w 2026 roku, przy ośmiu poważnych incydentach do maja, łącznych stratach wynoszących 328,6 miliona USD. Incydenty takie jak ataki na Ronin i Poly Network ukazały systemowe ryzyka związane z kompromitacją kluczy walidatorów i uwypukliły potrzebę wielopartyjnego zarządzania. Stablecoiny z funkcją zwiększania prywatności i mechanizmy reagowania na exploity, takie jak czarne listy adresów przez emitentów, oferują częściowe złagodzenie, lecz nie eliminują kluczowych założeń zaufania.
Po tym incydencie usługi nadzoru rynku wydały ostrzeżenia o ryzyku dla operatorów zdecentralizowanych giełd i platform depozytowych. Proponowane środki naprawcze obejmują rotację kluczy walidatorów do bezpiecznego zimnego magazynowania oraz wprowadzenie schematów podpisu progowego, które wymagają podpisów wielopartyjnych dla transakcji o wysokiej wartości. Zespoły protokołów angażują zewnętrznych audytorów, aby ocenić źródłową podatność i zaproponować ulepszone protokoły zarządzania kluczami.
Kontynuujące debaty branżowe dotyczące równowagi między decentralizacją a bezpieczeństwem operacyjnym. Mosty międzyłańcuchowe pozostają integralnym elementem złożonych strategii DeFi, a utrzymujące się incydenty bezpieczeństwa podważają zaufanie i efektywność kapitału. Uczestnicy rynku będą monitorować harmonogram reakcji Gravity Bridge oraz potencjalne propozycje on-chain governance, aby usunąć podatność i przywrócić bezpieczeństwo aktywów.
Ostatecznie atak ten stanowi ostrzeżenie dla protokołów infrastrukturalnych, podkreślając konieczność solidnych rozwiązań w zakresie przechowywania kluczy i przejrzystych procesów reagowania na incydenty, które zapewniają integralność połączeń między łańcuchami.
Komentarze (0)