30 мая 2026 года из контракта Gravity Bridge в сети Ethereum были выведены ~$5.4 млн. По всей видимости, злоумышленник скомпрометировал механизм подписей и сформировал операцию вывода, которая выглядела легитимной для контракта. Gravity Bridge публично подтвердил инцидент и попросил валидаторов остановиться на время расследования.
Что такое Gravity Bridge и как он работает
Gravity Bridge — это мост между сетью Cosmos (семейство блокчейнов) и сетью Ethereum. Он позволяет переводить токены из одной сети в другую.
Для того чтобы вывод из контракта был разрешён, его нужно подтвердить подписями достаточного количества валидаторов — доверенных участников сети, отвечающих за правильность операций. Валидатор — это своего рода нотариус в блокчейне: он подтверждает операции своей цифровой подписью. Если подписей большевинство — операция выполняется.
Атакующий, вероятно, получил доступ к приватным ключам нескольких валидаторов или скомпрометировал сервисы, которые эти ключи используют. Имея достаточное количество подписей, он сформировал запрос на вывод средств, который контракт воспринял как обычный легитимный.
Из контракта в четырёх транзакциях ушло:
- 4 349 701 USDC (стейблкоин, привязанный к доллару)
- 274 WETH (токенизированный эфир)
- 434 072 USDT (стейблкоин, привязанный к доллару)
- 14 PAXG (токен, привязанный к цене золота)
Почему это стало возможным
Мост доверяет вывод только тогда, когда получает достаточное количество подписей от валидаторов. Если злоумышленник как-то получил нужные подписи, контракт просто выполнил операцию — никакой технической ошибки не было.
Проблема — не в коде. Проблема — в людях или инфраструктуре, хранящей приватные ключи валидаторов. Как именно были получены подписи — через кражу ключей, взлом серверов или другим способом — пока неизвестно.
Детали расследования: движение средств
1️⃣ Все выведенные активы поступили на адрес 0x7B582033061b96cC3F9421e73a749ED7C62da1F9 и были обменяны на ~2 673 ETH.
2️⃣ Небольшая часть средств была отправлена на KuCoin, Binance и ChangeNOW — биржи с обязательной проверкой личности.
3️⃣ Основная масса средств ушла на адрес 0x4d3ca32e687e871a58b78acac73be59ac37c7a4, откуда пополнения продолжились на ChangeNOW.
4️⃣ Часть средств — ~299 ETH — ушла на адрес 0xc8c71ae4261e55a66d9967f2ac252be4e669f562, откуда разделилась на три направления:
~30 ETH — через Li.Fi в сеть Arbitrum, затем на Hyperliquid для обмена на XMR (Monero — одна из наиболее приватных криптовалют)
~14 ETH — на Binance
~240 ETH — в Tornado Cash (миксер для скрытия происхождения денег)
5️⃣ На момент расследования на адресе 0x4d3ca32e687e871a58b78acac73be59ac37c7a47 остаётся ~1 788 ETH.
Заключение
Атака на Gravity Bridge — пример того, как операционная безопасность — хранение и защита приватных ключей — столь же важна, как и качество кода. Контракт работал правильно, но ключи, которым доверял контракт, оказались в неправильных руках.
Часть средств была направлена на биржи с KYC, часть — в Tornado Cash, часть конвертирована в Monero. Атакующий использовал все доступные способы запутать следы. Команда «КоинКит» продолжает отслеживать адреса злоумышленника.
