Gravity Bridge sufre una explotación de 5,4 millones de dólares en una infracción de seguridad de la clave del validador

Un protocolo puente entre cadenas que une Ethereum con la red Cosmos, Gravity Bridge, experimentó una pérdida significativa de aproximadamente $ 5,4 millones en las primeras horas del sábado. Según los expertos en seguridad, la infracción se debió a una clave de firma del validador comprometida y no a una vulnerabilidad en la arquitectura subyacente del contrato inteligente. Parece que la clave del contrato del puente @gravity_bridge puede haber sido comprometida, lo que resultó en el robo de 5,4 millones de dólares. El atacante drenó los siguientes activos: USDC: $4.3MWETH: 274 ETH (~$553K)USDT: $434K$PAYG: $64K Direcciones de robo: 0x7B582033061b96cC3F9421e73a749ED7C62da1F9… pic.twitter.com/nX81rsZYGp — Spectre (@SpecterAnalyst) 30 de mayo de 2026 El analista de seguridad de Blockchain, Specter, detectó inicialmente la actividad sospechosa, y la empresa de ciberseguridad PeckShield verificó posteriormente el incidente y publicó una contabilidad detallada de los activos comprometidos. El análisis de PeckShield reveló que el perpetrador extrajo aproximadamente 4,3 millones de dólares en monedas estables USDC, 274 unidades de éter envuelto valoradas en aproximadamente 553.000 dólares, 434.000 dólares en USDT y 14,16 tokens PAXG que representan alrededor de 64.000 dólares en valor. #PeckShieldAlert Al @gravity_bridge se le han vaciado ~$5.4M, incluyendo $4.3M $USDC, 274 $ETH (~$553K), $434K $USDT y 14.164 $PAYG ($64K). El hacker ha lavado una parte de los activos robados a través de #ChangeNow y #Binance, y todavía tiene 2.102K $ETH. (~$4,23 millones). pic.twitter.com/NJSNqc0G78 – PeckShieldAlert (@PeckShieldAlert) 30 de mayo de 2026 La criptomoneda robada se transfirió a una billetera de destino con los caracteres finales 7C62da1F9. La investigación de Spectre identificó el contrato inteligente comprometido con una dirección que termina en 1F2D906. El atacante no perdió tiempo en intentar ocultar el origen de los fondos robados. Según el seguimiento de PeckShield, partes de las ganancias ilícitas se lavaron rápidamente a través de la plataforma de intercambio instantáneo ChangeNow y el importante intercambio de criptomonedas Binance. Cuando PeckShield publicó sus hallazgos, la billetera principal del atacante todavía contenía aproximadamente 2.100 ETH, lo que representa un valor cercano a los 4,23 millones de dólares. Una dirección de billetera adicional identificada por Spectre mostró tenencias de aproximadamente $4,16 millones de dólares en ether. Gravity Bridge opera asegurando tokens en la cadena de bloques Ethereum mientras crea los activos reflejados correspondientes en la red Cosmos. Cada transacción entre cadenas requiere autenticación mediante firmas de validador para completar el proceso de transferencia. La investigación preliminar de Spectre indica que un atacante que obtenga el control de una cantidad suficiente de claves de firma legítimas puede ejecutar retiros no autorizados que el sistema interpreta como transacciones válidas. Esto sugiere que la vulnerabilidad existe dentro de la infraestructura de autorización en lugar de representar una falla en el código del contrato inteligente en sí. El equipo de desarrollo de Gravity Bridge reconoció el incidente de seguridad en X, refiriéndose a él como un "incidente desafortunado" y solicitando que los validadores y orquestadores suspendan inmediatamente las operaciones durante el período de investigación. La plataforma del puente está actualmente fuera de línea. Aún no se ha publicado ningún análisis exhaustivo posterior al incidente. El vector de ataque preciso, ya sea a través de una infraestructura de validación comprometida, claves privadas robadas o debilidades de seguridad alternativas, no se ha confirmado oficialmente. Si se confirma la teoría del compromiso clave de la firma, el incidente del Puente Gravity representaría una continuación de un patrón preocupante observado a lo largo de los ataques relacionados con el puente de 2026. Fallos de gestión de claves comparables fueron evidentes en las violaciones de seguridad de Kelp DAO y Resolv a principios de este año. Según una investigación publicada por TRM Labs, los exploits de puentes entre cadenas continúan representando una de las fuentes más importantes de pérdidas de criptomonedas a lo largo de 2026. Abril registró el total mensual más alto de ataques exitosos. Si bien es sustancial, esta pérdida de 5,4 millones de dólares es relativamente modesta en comparación con compromisos importantes anteriores sobre el puente. El exploit del puente Nomad de 2022, que provocó pérdidas por valor de 190 millones de dólares, y el hackeo del puente Orbit de 2024, por un total de 81,5 millones de dólares, siguen estando entre los mayores incidentes de esta categoría. Gravity Bridge se desarrolló con contribuciones técnicas del equipo de desarrollo de Althea y opera utilizando la seguridad proporcionada por su token nativo Graviton (GRAV). El equipo del proyecto no ha anunciado un cronograma para reanudar las operaciones del puente ni ha publicado detalles de investigación adicionales.