Gravity Bridge 安全漏洞导致签名密钥泄露导致 540 万美元损失

周六早些时候，Gravity Bridge（一种促进以太坊和 Cosmos 之间资产转移的跨链协议）被利用，损失了约 540 万美元。安全研究人员表示，此次攻击可能源于验证器签名密钥受损，而不是协议智能合约代码中的缺陷。

链上分析师 Spectre 首先发现了异常资金外流，随后安全公司 PeckShield 证实了这一点。根据他们的分析，攻击者控制了桥的签名授权，从而实现了一系列未经授权的桥合约提款。

PeckShield 详细列出了被盗资金的详细信息，其中包括约 430 万美元的 USDC、274 个价值约 553,000 美元的包装以太坊 (wETH)、约 434,000 美元的 Tether (USDT) 和 14.16 个价值约 64,000 美元的 PAXG 代币。这些资产被转移到以“7C62da1F9”结尾的以太坊地址。

Gravity Bridge 团队在社交媒体平台 X 上承认了这一事件，并指示验证者立即停止操作。 “重力号上发生了一件不幸的事件，”该团队表示。 “在调查此事件期间，验证者应该停止其验证者和协调者。”随后的更新确认该桥当前已暂停。

PeckShield 报告称，攻击者开始通过即时交换服务 ChangeNow 和加密货币交易所 Binance 迅速洗掉部分被盗资金。截至他们报告时，被盗钱包中仍包含约 2,100 ETH，价值约 423 万美元。

重力桥使用一种模型来运行，其中代币被锁定在以太坊上，并在 Cosmos 上铸造等效的表示形式，并需要验证者签名来授权每次转移。这种架构意味着，如果攻击者获得足够的签名密钥，系统就可以被欺骗，将欺诈性提款视为合法交易。

此事件与 2026 年桥漏洞利用的持续趋势一致，其中漏洞通常存在于操作安全和密钥管理（“授权层”）中，而不是存在于经过审计的智能合约逻辑中。今年早些时候，类似的关键妥协被确定为 Kelp DAO 和 Resolv 漏洞利用的根本原因。

虽然 540 万美元的损失比今年一些重大桥梁黑客攻击要小，但它导致加密安全事件大幅增加，4 月份被标记为有记录以来遭受黑客攻击最多的月份。跨链桥仍然是一个关键的攻击媒介，占 2026 年加密货币黑客攻击造成的数十亿美元损失的很大一部分。

截至目前，Gravity Bridge 团队（包括来自 Althea 的贡献者并由原生 Graviton (GRAV) 代币保护）尚未发布详细的事后分析。密钥泄露的具体切入点和方法仍在调查中。