於 2026 年 5 月 30 日,Gravity Bridge 的以太坊端合約發生安全漏洞,未經授權地提款約 540 萬美元。鏈上調查人員將這起事件的根本原因定位為簽名金鑰被入侵,與典型的智慧合約利用不同。該漏洞繞過協議程式碼防護,授予攻擊者特權訪問權以執行看似獲授權的提款。
初始提款包括價值 4,300,000 美元的 USDC、價值 274 ETH(約 553,000 美元)、價值 434,000 美元的 USDT,以及大約 64,000 美元的 PAYG 代幣。
PeckShield 與其他區塊鏈分析公司追蹤被盜資金透過點對點服務的流向,包括 ChangeNow 與 Binance,以混淆交易來源。儘管部分資金已被洗白,鏈上數據仍證實攻擊者仍控制 2,102 ETH,市值超過 420 萬美元。
Gravity Bridge 是一個跨鏈基礎設施解決方案,通過 IBC 將以太坊與 Cosmos 生態系統連接,促進跨鏈資產轉移。在攻擊發生前,該橋保持的總鎖定價值為 1150 萬美元。業界觀察指出橋接架構中仍存在持續的漏洞,尤其是集中的金鑰管理帶來單點故障風險。
歷史背景強調 2026 年橋接漏洞的嚴重性,至五月為止已有 8 起重大事件造成 3.286 億美元損失。諸如 Ronin 與 Poly Network 等事件顯示了驗證者鑰匙洩露的系統性風險,並提高了對多方治理控制的需求。具有增強隱私性的穩定幣與漏洞回應機制,例如發行方的地址黑名單,雖然提供部分緩解但無法消除核心信任假設。
漏洞發生後,市場監測服務向去中心化交易所運營商與托管平台發出風險警報。提出的整改措施包括輪換驗證者鑰匙並將其存入冷存儲,以及實施需要多方簽名的閾值簽名機制以處理高價交易。協議團隊亦正邀請外部審計員評估根本漏洞,並提出加強的鑰匙管理協議。
此事件再次強化了業界在去中心化與運營安全之間的持續辯論。跨鏈橋樑仍然是可組合 DeFi 策略的重要組成部分,持續的安全事件威脅信心與資本效率。市場參與者將留意 Gravity Bridge 的回應時間表及可能的鏈上治理提案,以修補漏洞並恢復資產安全。
終究,此次漏洞事件成為基礎設施協議的警示案例,凸顯在維護跨鏈連接完整性方面,迫切需要健全的金鑰託管解決方案與透明的事件回應流程。
評論 (0)