Gravity Bridge 在周六早些时候的一次漏水事件中损失了约 540 万美元,安全研究人员认为可能与签名密钥泄露有关。
摘要 安全研究人员指出与可能的签名密钥泄露有关的异常提款后,Gravity Bridge 损失了约 540 万美元。 PeckShield 表示,被盗资产包括 USDC、打包以太币、USDT 和 PAXG,部分资金通过 ChangeNow 和 Binance 转移。 Gravity 团队停止了这座桥,并要求验证者和协调者停止,同时调查该事件。链上分析师Spectre首先指出了异常提款,称这种模式表明桥的签名密钥可能已被泄露,而不是其智能合约代码。安全公司 PeckShield 随后发布了类似的评估,并分享了被盗资产的详细信息。
#PeckShieldAlert The @gravity_bridge has been drained of ~$5.4M, including $4.3M $USDC, 274 $ETH (~$553K), $434K $USDT & 14.164 $PAYG ($64K) The hacker has laundered a portion of the stolen assets through #ChangeNow & #Binance, and is still holding 2.102K $ETH (~$4.23M). pic.twitter.com/NJSNqc0G78
— PeckShieldAlert (@PeckShieldAlert) May 30, 2026重力桥在资金耗尽后停止运营
根据 PeckShield 的数据,被盗资产包括约 430 万美元的 USDC、274 个价值约 553,000 美元的打包以太币、434,000 美元的 USDT 以及价值约 64,000 美元的 14.16 PAXG。该公司表示,资金已转移至一个以 7C62da1F9 结尾的钱包。
Spectre 将受影响的重力桥合约识别为以 1F2D906 结尾的地址。该分析师表示,交易模式似乎与通过妥协授权而不是直接利用合约逻辑批准的未经授权的提款一致。
It appears the @gravity_bridge bridge contract key may have been compromised, resulting in the theft of $5.4M. The attacker drained the following assets: USDC: $4.3M WETH: 274 ETH (~$553K) USDT: $434K$PAYG: $64K Theft addresses: 0x7B582033061b96cC3F9421e73a749ED7C62da1F9… pic.twitter.com/nX81rsZYGp
— Specter (@SpecterAnalyst) May 30, 2026Gravity 团队后来确认了 X 上发生的事件,并要求验证者在调查继续期间停止其验证者和编排者。在另一次更新中,该团队表示该桥在审查攻击时已被停止。
There was an unfortunate incident on Gravity. Validators should halt their validators and orchestrators while this incident is being investigated.
— Gravity Bridge (@gravity_bridge) May 30, 2026研究人员指向授权层
Gravity Bridge 通过锁定以太坊上的资产并在 Cosmos 上铸造镜像代币,将以太坊与 Cosmos 生态系统连接起来。验证者签名授权资产在桥上移动。
根据 Spectre 的早期评估,控制足够有效签名密钥的攻击者可以使提款对系统来说显得合法。 PeckShield 的报告还重点关注了被盗资金以及流失后的资产流动情况。
Gravity 团队尚未发布事后分析,因此确切的入口点仍未得到确认。其公开更新仅证实了该事件、停止以及正在进行的调查。
攻击者通过互换服务转移资金
PeckShield 表示,攻击发生后,部分被盗资金已通过 ChangeNow 和 Binance 转移。该公司还报告称,在发布更新信息时,被盗钱包中仍持有约 2,100 ETH,价值近 423 万美元。
Spectre 通过 Arkham 分享的钱包快照显示,相关地址持有约 416 万美元的以太币。这些动向表明调查人员正在通过多个服务和钱包追踪资金。
Gravity Bridge 由包括 Althea 团队在内的贡献者构建,并由 Graviton(或 GRAV)代币保护。该协议尚未解释验证器基础设施、私钥或其他操作弱点是否允许提款。
如果早期评估得到证实,重力桥事件将与其他 2026 年桥梁攻击一样,其中密钥管理故障(而不是经过审计的合约代码)发挥了核心作用。根据这些案例中引用的安全研究人员的说法,今年早些时候的 Kelp DAO 和 Resolv 事件中也出现了类似的担忧。
TRM Labs 报告称,桥接攻击仍然是 2026 年加密货币损失的主要来源。Gravity Bridge 损失比过去的一些桥梁泄露事件要小,包括 2022 年价值 1.9 亿美元的 Nomad 漏洞攻击和 2024 年价值 8150 万美元的 Orbit Bridge 黑客攻击。
