Gravity Bridge遭黑客攻击
跨链协议Gravity Bridge于5月30日遭到黑客攻击,损失约540万美元。根据区块链安全公司Peckshield的报告,攻击者将部分赃款通过Binance和Changenow进行转移。
攻击细节
Peckshield在5月30日警告称,Gravity Bridge存在约540万美元的漏洞,其中包括430万美元的USDC和274个以太坊(ETH)。此次盗窃事件使得Peckshield在2026年5月追踪到的桥接攻击总额超过3.28亿美元。攻击者目前仍持有2102个以太坊(约423万美元),链上侦探正在追踪洗钱路径。
Gravity Bridge是一个在以太坊和Cosmos生态系统之间转移代币的协议,此次新漏洞导致其损失约540万美元。被盗资产包括约430万美元的美元硬币(USDC)、274个以太坊(ETH,价值约55.3万美元)、43.4万美元的泰达币(USDT)和价值近6.4万美元的14.164个PAYG代币。
赃款转移
攻击者迅速开始转移赃款。根据Peckshield的评估,部分赃款已经通过Changenow(一个非托管的兑换服务)和全球最大的加密货币交易所Binance进行洗钱。截至警报发布时,攻击者仍持有约2102个以太坊,价值约423万美元,这表明大部分被盗资产仍在链上,可能可追踪。
通过像Binance这样的中心化交易所转移资金可能会通过将被盗币与合法流动性混合来打破追踪,但这也使资金面临冻结的风险,尤其是在平台合规团队迅速采取行动的情况下。
像Changenow这样的兑换服务通常用于将资产转换为更难追踪的代币,然后再进入交易所。
Gravity Bridge的架构
Gravity Bridge是一个跨链桥,连接以太坊与Cosmos网络的互操作链。它基于Cosmos SDK构建,采用锁定和铸造模型。在这种模型中,一个代币在一个链上被锁定,另一个链上铸造一个等值的表示,用户在返回时再进行销毁和赎回。
Gravity Bridge并不依赖于小型多重签名钱包或特定的运营者群体,而是使用其验证者集来签署跨链交易,这种设计旨在使其更加去中心化,并更难以被攻破。然而,这种架构并没有使桥接免受攻击,因为它们设计上持有大量锁定资产,使其成为去中心化金融(DeFi)中最具吸引力的目标。验证逻辑中的单一缺陷可能会一次性解锁所有资产。
跨链基础设施的挑战
Gravity Bridge事件发生在跨链基础设施面临严峻挑战的时期。Bitcoin.com News最近报道,截至2026年5月中旬,桥接攻击已导致超过3.28亿美元的损失,涉及八起独立事件。
这一模式在今年持续不断。5月18日,攻击者从Verus-Ethereum桥接中盗取了约1150万美元,实施者在盗窃前通过Tornado Cash获得资金。随后,在4月,一次疑似攻击从Drift Protocol中盗取了超过2亿美元,而另一项攻击则从KelpDAO的Layerzero适配器中盗取了116,500个rsETH,暴露了借贷市场面临潜在坏账的风险。
较小的攻击也在不断增加,包括对Shibarium桥接的240万美元闪电贷攻击。在这一切中,重复的模式指向了结构性问题,而不是一系列的运气不佳。桥接需要调和两个链的不同安全模型,而验证存款和取款的代码反复证明是最薄弱的环节(无论是由于缺失的验证检查、被攻破的密钥还是治理缺陷)。
未来展望
眼下的问题是,540万美元的被盗资产能追回多少。由于攻击者仍持有约423万美元的以太坊,交易所和分析公司有机会标记并冻结这些资金,协议也越来越多地利用公众压力和链上消息进行谈判以寻求归还。例如,Verus的黑客最终归还了850万美元,同时在恢复协议下保留了280万美元的赏金。
目前,Gravity Bridge的用户将关注官方事件报告,详细说明根本原因以及任何补偿受影响存款人的计划。在桥接解决持续出现的验证弱点之前,多链经济中最重要的连接器可能仍将是最频繁被盗的目标。
