Gravity Bridgeが540万ドルの流出でEthereum-Cosmosリンクを停止

Gravity Bridgeは、土曜日早朝に発生した資金流出により約540万ドルの損失を被りました。セキュリティ研究者はこれを署名鍵の漏洩の可能性と関連付けています。

オンチェーンアナリストのSpecterが最初に異常な出金を指摘し、そのパターンはスマートコントラクトコードではなく、ブリッジの署名鍵が侵害された可能性を示唆していると述べました。セキュリティ企業のPeckShieldも後に同様の見解を示し、盗まれた資産の内訳を公開しました。

Gravity Bridgeが資金流出後に運営を停止

PeckShieldによると、盗まれた資産には約430万ドル相当のUSDC、約55万3,000ドル相当のラップドイーサ274枚、43万4,000ドルのUSDT、約6万4,000ドル相当の14.16 PAXGが含まれていました。同社は、資金が末尾7C62da1F9のウォレットに移動したと述べています。

Specterは、影響を受けたGravity Bridgeコントラクトを末尾1F2D906のアドレスとして特定しました。アナリストは、取引のパターンがコントラクトロジックの直接的な悪用ではなく、侵害された認証を通じて承認された不正出金と一致すると述べました。

Gravityチームはその後Xでインシデントを確認し、調査が続く間、バリデーターとオーケストレーターに活動停止を要請しました。別のアップデートでは、攻撃を調査する間にブリッジが停止されたと発表しました。

研究者が認証レイヤーを指摘

Gravity BridgeはEthereumとCosmosエコシステムを接続するもので、Ethereum上で資産をロックし、Cosmos上でミラートークンを発行します。バリデーターの署名がブリッジ上の資産移動を承認します。

Specterの初期評価によると、十分な数の有効な署名鍵を制御する攻撃者は、出金をシステムに対して正当なものと見せかけることができます。PeckShieldのレポートも、盗まれた資金と流出後の資産移動に焦点を当てていました。

Gravityチームはポストモーテムを公開していないため、正確な侵入経路は未確認のままです。公開アップデートでは、インシデントの確認、停止、および調査の継続のみが伝えられています。

攻撃者がスワップサービスを通じて資金を移動

PeckShieldは、攻撃後に盗まれた資金の一部がすでにChangeNowおよびバイナンスを通じて移動されたと述べました。また、アップデート公開時点で盗まれたウォレットにはまだ約2,100 ETH（約423万ドル相当）が残っていたと報告しました。

SpecterがArkhamを通じて共有したウォレットのスナップショットは、関連アドレスが約416万ドル相当のイーサを保有していることを示していました。これらの動きは、調査員が複数のサービスやウォレットにわたって資金を追跡していることを示しています。

Gravity BridgeはAltheaチームを含む貢献者によって構築され、Graviton（GRAV）トークンによって保護されています。プロトコルは、バリデーターインフラ、秘密鍵、またはその他の運用上の脆弱性が出金を可能にしたかどうかについて、まだ説明していません。

初期評価が確認された場合、Gravity Bridgeインシデントは、監査済みのコントラクトコードではなく鍵管理の失敗が中心的な役割を果たした2026年の他のブリッジ攻撃と同列に扱われることになります。セキュリティ研究者によると、同様の懸念が今年初めのKelp DAOおよびResolvインシデントでも見られたとのことです。

TRM Labsは、2026年もブリッジ攻撃が暗号資産損失の主要な原因であり続けていると報告しています。Gravity Bridgeの損失は、2022年の1億9,000万ドルのNomadエクスプロイトや2024年の8,150万ドルのOrbit Bridgeハッキングなど、過去の大規模なブリッジ侵害よりも小規模です。