Gravity Bridge، یک پروتکل بین زنجیره‌ای که دارایی‌ها را بین اتریوم و اکوسیستم کازموس جابه‌جا می‌کند، اوایل روز شنبه حدود ۵.۴ میلیون دلار از آن تخلیه شد؛ رویدادی که محققان امنیتی معتقدند ناشی از به خطر افتادن یک کلید امضا بوده و نه یک باگ در قرارداد هوشمند.

این خروجی‌های غیرعادی ابتدا توسط Specter، تحلیلگر آنچین، گزارش شد و سپس توسط شرکت امنیتی PeckShield تأیید شد. Specter اظهار داشت که به نظر می‌رسد کلیدهای امضای این پل به خطر افتاده باشد و به مهاجم اجازه داده است تا مجموعه‌ای از برداشت‌های غیرمجاز را انجام دهد.

بر اساس برآورد PeckShield، وجوه سرقت‌شده شامل حدود ۴.۳ میلیون دلار USDC، ۲۷۴ واحد اتریوم رپ‌شده به ارزش تقریبی ۵۵۳,۰۰۰ دلار، ۴۳۴,۰۰۰ دلار تتر و ۱۴.۱۶ توکن PAXG به ارزش حدود ۶۴,۰۰۰ دلار است. این دارایی‌ها به آدرسی با پایان 7C62da1F9 هدایت شدند و قرارداد تخلیه‌شده نیز توسط Specter با آدرس پایان 1F2D906 شناسایی شده است.

تیم Gravity در روز شنبه در X (توییتر سابق) نوشت: "یک حادثه ناگوار در Gravity رخ داد. اعتبارسنج‌ها باید فعالیت اعتبارسنج‌ها و هماهنگ‌کننده‌های خود را تا زمانی که این حادثه در حال بررسی است، متوقف کنند." در پستی بعدی، تیم اعلام کرد که پل در حال حاضر متوقف شده است تا حمله مورد بررسی قرار گیرد.

مهاجم تقریباً بلافاصله شروع به جابه‌جایی وجوه کرد. PeckShield اعلام کرد که بخشی از دارایی‌های سرقت شده قبلاً از طریق سرویس تبادل فوری ChangeNow و از طریق بایننس پولشویی شده است، در حالی که کیف پول سرقت در زمان گزارش آن همچنان حدود ۲,۱۰۰ واحد اتریوم، یا حدود ۴.۲۳ میلیون دلار، را در خود داشت. یک اسنپ‌شات از آرکهام که توسط Specter به اشتراک گذاشته شد، نشان داد که یک کیف پول مرتبط تقریباً ۴.۱۶ میلیون دلار اتریوم را نگهداری می‌کند.

Gravity Bridge با قفل کردن توکن‌ها در شبکه اتریوم و مینت کردن نسخه‌های آینه‌ای از آن‌ها در کازموس، با امضاهای اعتبارسنج‌ها که هر انتقال را تأیید می‌کنند، کار می‌کند. اگر مهاجم به تعداد کافی کلید امضای معتبر دست یابد، سیستم برداشت‌های جعلی را معتبر تلقی می‌کند. این مکانیزم با برداشت اولیه محققان سازگار به نظر می‌رسد که نشان می‌دهد رخنه در لایه احراز هویت (مجوزدهی) بوده است و نه در منطق قرارداد.

در صورت تأیید، این حادثه با الگوی جاری حملات پل در سال ۲۰۲۶ مطابقت خواهد داشت که در آن مسائل امنیتی کلیدی، و نه نقص در کدهای قرارداد هوشمند زیربنایی، نقاط آسیب‌پذیری را فراهم می‌کنند. علت اصلی مشابهی در اکسپلویت‌های Kelp DAO و Resolv در اوایل سال جاری پدیدار شد، جایی که کدهای حسابرسی‌شده نقطه ضعف نبودند.

با ۵.۴ میلیون دلار، خسارت Gravity Bridge در مقایسه با حملات بزرگ پل‌ها در سال جاری ناچیز است، اما به افزایش عمده اخیر حوادث اضافه می‌کند، به طوری که آوریل پرهک‌ترین ماه ثبت شده بوده است. پل‌ها در سال ۲۰۲۶ یک سطح حمله قابل توجه و محرک اصلی سالی بوده‌اند که در آن خسارات هک ارزهای دیجیتال به میلیاردها دلار رسیده است، طبق گزارش TRM Labs. این دسته سابقه طولانی به عنوان یکی از سودآورترین اهداف کریپتو را دارد، از اکسپلویت ۱۹۰ میلیون دلاری Nomad در سال ۲۰۲۲ تا هک ۸۱.۵ میلیون دلاری Orbit Bridge در سال ۲۰۲۴.

Gravity Bridge، که توسط مشارکت‌کنندگانی از جمله تیم Althea ساخته شده و توسط توکن بومی Graviton (GRAV) خود امن شده است، هنوز گزارش پس از حادثه (پست‌مورتم) منتشر نکرده و نقطه دقیق ورود را تأیید نشده باقی گذاشته است. رسانه The Block نتوانست فوراً برای اظهار نظر با Gravity Bridge یا Althea تماس بگیرد.