30 мая 2026 года произошла утечка безопасности в контракте Gravity Bridge на стороне Ethereum, которая привела к несанкционированному выводу примерно 5,4 миллиона долларов. Аналитики по блокчейну установили, что причиной является скомпрометированный ключ подписи, что отличает этот инцидент от типичных взломов смарт-контрактов. Уязвимость обошла защиту кода протокола, предоставив злоумышленникам привилегированный доступ к выполнению выводов, которые казались авторизованными.
Первоначальный вывод составил 4,3 миллиона долларов в USDC, 274 ETH на сумму 553 000 долларов, 434 000 долларов в USDT и примерно 64 000 долларов в токенах PAYG. PeckShield и другие компании по аналитике блокчейна отслеживали перемещение украденных средств через пиринговые сервисы, включая ChangeNow и Binance, чтобы скрыть происхождение транзакций. Несмотря на частичную отмывку, данные в блокчейне подтверждают, что злоумышленники всё ещё контролируют 2 102 ETH на сумму более 4,2 миллиона долларов.
Gravity Bridge — это инфраструктурное решение для межцепочечной связи, которое соединяет Ethereum с экосистемой Cosmos через IBC и облегчает передачу активов между цепочками. До взлома мост держал общую заблокированную стоимость в размере 11,5 миллиона долларов. Наблюдатели отрасли подчёркивали устойчивые уязвимости в архитектуре мостов, особенно сосредоточенное управление ключами, что создаёт единую точку отказа.
Исторический контекст подчёркивает серьёзность взломов мостов в 2026 году: к маю зафиксировано восемь крупных инцидентов на общую сумму 328,6 миллиона долларов. Инциденты, такие как взломы Ronin и Poly Network, демонстрировали системные риски компрометации ключей валидаторов и усилили необходимость многостороннего управления. Стейблкоины с повышенной приватностью и механизмы реагирования на эксплойты, такие как черные списки адресов со стороны эмитентов, обеспечивают частичную защиту, но не устраняют базовые доверительные предпосылки.
После инцидента службы мониторинга рынка выпустили предупреждения о рисках для операторов децентрализованных бирж и платформ с централизованным хранением средств. Предлагаемые меры по устранению включают ротацию ключей валидаторов для безопасного хранения в холодном хранилище и внедрение схем пороговой подписи, которые требуют мультиподписей для транзакций на крупную сумму. Команды протоколов привлекают внешних аудиторов для оценки корневой уязвимости и предложения улучшенных протоколов управления ключами.
Этот инцидент подчеркивает продолжающиеся в отрасли дебаты о балансе между децентрализацией и операционной безопасностью. Межцепочные мосты остаются неотъемлемой частью компонуемых DeFi-стратегий, а повторяющиеся проблемы с безопасностью подрывают доверие и эффективность использования капитала. Рыночные участники будут следить за темпами ответа Gravity Bridge и возможными предложениями по ончейн-управлению, чтобы устранить уязвимость и вернуть безопасность активов.
В конечном счете, данный взлом служит предостерегающим примером для инфраструктурных протоколов, подчеркивая необходимость надёжных решений по хранению ключей и прозрачных процессов реагирования на инциденты для сохранения целостности межцепочной связи.
Комментарии (0)