پروژه Gravity Bridge پس از یک خروج وجوه در اوایل شنبه که محققان امنیتی آن را به یک احتمال به خطر افتادن کلید امضا (signing key compromise) مرتبط دانستهاند، حدود 5.4 میلیون دلار از دست داده است.
تحلیلگر آنچین Specter ابتدا خروجهای غیرمعمول را گزارش داد و گفت که الگو نشان میدهد کلیدهای امضای پل ممکن است به خطر افتاده باشند تا کد قرارداد هوشمند آن. شرکت امنیتی PeckShield بعداً ارزیابی مشابهی منتشر کرد و جزئیات داراییهای سرقت شده را به اشتراک گذاشت.
بر اساس گزارش PeckShield، داراییهای سرقت شده شامل حدود 4.3 میلیون دلار USDC، 274 Wrapped Ether به ارزش تقریبی 553,000 دلار، 434,000 دلار USDT و 14.16 PAXG به ارزش تقریبی 64,000 دلار بود. این شرکت اعلام کرد که وجوه به کیف پولی با آدرس 7C62da1F9 منتقل شدهاند.
Specter قرارداد Gravity Bridge آسیبدیده را به عنوان آدرسی که به 1F2D906 ختم میشود، شناسایی کرد. این تحلیلگر گفت که الگوی تراکنشها با برداشتهای غیرمجاز تأیید شده از طریق مجوز به خطر افتاده، به جای سوءاستفاده مستقیم از منطق قرارداد، سازگار به نظر میرسید.
تیم Gravity بعداً حادثهای را در X تأیید کرد و از اعتبارسنجها (validators) خواست تا اعتبارسنجها و هماهنگکنندههای خود را متوقف کنند تا تحقیقات ادامه یابد. در یک بهروزرسانی دیگر، تیم اعلام کرد که پل متوقف شده است در حالی که حمله را بررسی میکند.
Gravity Bridge با قفل کردن داراییها در اتریوم و ضرب توکنهای آینهای (mirrored tokens) در کازماس، اتریوم را به اکوسیستم کازماس متصل میکند. امضاهای اعتبارسنجها (validator signatures) حرکت داراییها را در سراسر پل تأیید میکنند.
بر اساس ارزیابی اولیه Specter، مهاجمی که به تعداد کافی از کلیدهای امضای معتبر دسترسی داشته باشد، میتواند برداشتها را برای سیستم مشروع جلوه دهد. گزارش PeckShield نیز بر وجوه سرقت شده و حرکت داراییها پس از خروج وجوه تمرکز داشت.
تیم Gravity هنوز گزارش پس از واقعه (postmortem) منتشر نکرده است، بنابراین نقطه ورود دقیق نامشخص باقی مانده است. بهروزرسانیهای عمومی آن تنها حادثه، توقف و تحقیقات در حال انجام را تأیید کردهاند.
PeckShield اعلام کرد که بخشی از وجوه سرقت شده پس از حمله از طریق ChangeNow و Binance جابجا شده است. این شرکت همچنین گزارش داد که کیف پول سرقت شده همچنان حدود 2,100 ETH به ارزش تقریبی 4.23 میلیون دلار در زمان انتشار بهروزرسانی خود نگهداری میکند.
یک اسنپشات از کیف پول که توسط Specter از طریق Arkham به اشتراک گذاشته شده است، آدرسی مرتبط را نشان میدهد که تقریباً 4.16 میلیون دلار اتر نگهداری میکند. این جابجاییها نشان میدهد که محققان در حال ردیابی وجوه در چندین سرویس و کیف پول هستند.
Gravity Bridge توسط مشارکتکنندگان، از جمله تیم Althea، ساخته شده است و توسط توکن Graviton یا GRAV ایمن میشود. این پروتکل هنوز توضیح نداده است که آیا زیرساخت اعتبارسنج، کلیدهای خصوصی یا ضعف عملیاتی دیگری اجازه برداشتها را داده است.
اگر ارزیابیهای اولیه تأیید شوند، حادثه Gravity Bridge به سایر حملات پل در سال 2026 میپیوندد که در آن شکستهای مدیریت کلید، به جای کدهای قرارداد ممیزی شده، نقش اصلی را ایفا کردند. نگرانیهای مشابهی در حوادث Kelp DAO و Resolv در اوایل سال جاری، طبق گفته محققان امنیتی ذکر شده در آن موارد، ظاهر شد.
TRM Labs گزارش داده است که حملات پل همچنان منبع اصلی ضررهای کریپتو در سال 2026 باقی ماندهاند. از دست دادن Gravity Bridge کوچکتر از برخی از نقضهای قبلی پل است، از جمله سوءاستفاده 190 میلیون دلاری Nomad در سال 2022 و هک 81.5 میلیون دلاری Orbit Bridge در سال 2024.
