周六凌晨,连接以太坊与Cosmos生态的跨链桥接协议Gravity Bridge遭遇严重安全事件,造成约540万美元资产损失。链上分析指出,此次攻击并非由智能合约缺陷触发,而是源于验证者签名密钥的非法获取。异常交易最早由链上观察者Specter识别,随后被安全机构PeckShield确认。初步研判表明,问题出在授权层,攻击者利用窃得的桥接签名权限执行了未经授权的资金提取。
据PeckShield统计,被盗资产包含约430万美元的USDC、价值55.3万美元的274枚封装以太币(wETH)、43.4万美元的泰达币(USDT)以及6.4万美元的14.16枚PAXG代币。所有资金均被转入尾号为7C62da1F9的地址,而受损合约地址尾号为1F2D906。Gravity Bridge团队在事件发生后公开承认,并要求所有验证节点在调查期间停止参与操作。后续声明确认,桥接服务已全面暂停运行。
本事件将安全重心从代码审计转向验证者权限管理。Gravity Bridge依赖验证者对跨链交易进行签名认证,实现以太坊资产锁定与Cosmos侧镜像资产发行。一旦攻击者掌握足够数量的有效签名密钥,即可伪造合法交易请求,绕过合约逻辑校验。这意味着即便智能合约经过多轮审计,系统仍可能因授权层失控而面临风险。
该类攻击路径显著提升了用户风险评估的复杂度,因为即使代码无瑕疵,仍可能受制于密钥保管、签名者行为一致性及验证网络协调效率等非代码因素。对于跨链基础设施而言,这暴露出一个根本性挑战:桥接不仅是资产搬运工具,更是多链价值体系的核心枢纽。授权机制的缺陷可能波及封装资产、流动性池及依赖其功能的各类应用。目前完整技术报告尚未发布,具体入侵路径仍在排查中。
在成功提取资金后,攻击者迅速启动资产转移流程。PeckShield数据显示,部分被盗资产已通过ChangeNow等即时兑换平台及币安交易所进行变现。截至报告时点,攻击钱包仍持有约2100枚以太币,估值约423万美元。Arkham提供的数据快照显示,关联账户合计持有约416万美元的以太币资产。
资产是否保留在可追踪钱包直接影响追回可能性。当资金仍处于单一或有限关联的地址中,执法机构与交易平台可通过链上分析实施冻结。然而,一旦经历多次兑换、跨链迁移或经由混币器处理,原始轨迹将难以追溯。此次攻击者同时运用即时兑换与中心化交易所结合的洗钱模式,是近年来典型手法——旨在迅速切断与原始攻击钱包的联系,而防御方则依赖透明交易记录与交易所协作进行拦截。
尽管本次损失低于年内其他重大跨链攻击,但事件揭示了桥接架构中长期存在的结构性隐患。研究者正日益关注密钥管理与权限控制层面的风险,而非仅聚焦于智能合约漏洞。这一趋势在2026年多个类似事件中得到印证,如Kelp DAO与Resolv协议的攻击均未涉及代码缺陷,而是源于授权机制失效。
市场反应方面,用户与机构开始重新审视跨链桥的性质,不再将其视为单纯的DeFi工具,而是视作具备高风险的操作系统。项目方应吸取教训:代码审计虽为基础,却不足以保障整体安全。未来需强化密钥托管机制、提升签名者多样性、引入提款速率限制与额度上限、部署实时监控系统、建立紧急暂停能力,并制定清晰的应急响应预案。当前正值加密领域攻击频发周期,跨链桥因其资产集中特性,持续成为高价值目标。
由Althea团队主导开发、依托原生代币Graviton提供安全保障的Gravity Bridge,目前仍处于服务中断状态。最终技术报告将验证签名密钥泄露假设的成立性,并评估是否需要重构验证者模型以恢复运营。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.