Gravity Bridge 因验证器密钥安全漏洞而遭受 540 万美元的攻击

连接以太坊和 Cosmos 网络的跨链桥协议 Gravity Bridge 在周六凌晨经历了约 540 万美元的大幅消耗。据安全专家称，此次泄露源于验证器签名密钥受损，而不是底层智能合约架构中的漏洞。 @gravity_bridge 桥合约密钥似乎已被泄露，导致 540 万美元被盗。攻击者耗尽了以下资产： USDC：$4.3MWETH：274 ETH (~$553K)USDT：$434K$PAYG：$64K 盗窃地址：0x7B582033061b96cC3F9421e73a749ED7C62da1F9… pic.twitter.com/nX81rsZYGp — Spectre (@SpecterAnalyst) 2026 年 5 月 30 日 区块链安全分析师 Spectre 最初发现了可疑活动，网络安全公司 PeckShield 随后验证了该事件，并发布了受损资产的详细账目。 PeckShield 的分析显示，犯罪者提取了约 430 万美元的 USDC 稳定币、274 单位价值约 553,000 美元的包装以太币、价值 434,000 美元的 USDT 和 14.16 个 PAXG 代币（价值约 64,000 美元）。 #PeckShieldAlert @gravity_bridge 已被盗走约 540 万美元，包括 430 万美元 $USDC、274 $ETH (约 $553K)、434K $USDT 和 14.164 $PAYG ($64K) 黑客通过 #ChangeNow 和 #Binance 清洗了部分被盗资产，目前仍持有 210.2K $ETH （约 423 万美元）。 pic.twitter.com/NJSNqc0G78 — PeckShieldAlert (@PeckShieldAlert) 2026 年 5 月 30 日 被盗的加密货币被转移到最终字符为 7C62da1F9 的目标钱包。 Spectre 的调查发现，智能合约受到损害，其地址以 1F2D906 结尾。攻击者立即试图掩盖被盗资金的来源。根据 PeckShield 的追踪，部分非法收益很快通过即时交易平台 ChangeNow 和主要加密货币交易所 Binance 被洗掉。当 PeckShield 发布调查结果时，攻击者的主钱包中仍包含约 2,100 ETH，价值近 423 万美元。 Spectre 发现的另一个钱包地址显示持有约 416 万美元的以太币。 Gravity Bridge 的运作方式是保护以太坊区块链上的代币，同时在 Cosmos 网络上创建相应的镜像资产。每笔跨链交易都需要通过验证人签名进行身份验证才能完成转账过程。 Spectre 的初步调查表明，控制足够数量合法签名密钥的攻击者可以执行未经授权的提款，系统将其解释为有效交易。这表明该漏洞存在于授权基础设施中，而不是智能合约代码本身存在缺陷。 Gravity Bridge开发团队承认了X上的安全事件，称其为“不幸事件”，并要求验证者和编排者在调查期间立即暂停运营。目前桥接平台已离线。目前尚未发布全面的事件后分析。确切的攻击媒介——无论是通过受损的验证器基础设施、被盗的私钥还是其他安全漏洞——尚未得到正式确认。如果签名密钥妥协理论得到证实，重力桥事件将代表 2026 年桥相关攻击中观察到的令人不安的模式的延续。今年早些时候的 Kelp DAO 和 Resolv 安全漏洞中都存在类似的密钥管理故障。根据 TRM Labs 发布的研究，跨链桥漏洞仍然是 2026 年加密货币损失的最重要来源之一。4 月份成功攻击的月度总数最高。虽然数额巨大，但与之前的重大桥梁妥协相比，这 540 万美元的损失相对较小。 2022 年的 Nomad 桥漏洞造成了 1.9 亿美元的损失，2024 年的 Orbit Bridge 黑客攻击造成了总计 8150 万美元的损失，仍然是此类事件中最大的事件之一。 Gravity Bridge 是在 Althea 开发团队的技术贡献下开发的，并使用其原生 Graviton (GRAV) 代币提供的安全性进行操作。项目团队尚未宣布恢复桥梁运营的时间表或公布更多调查细节。