Кроссчейн-мост Gravity Bridge на Cosmos взломали на $5,4 млн

Протокол Gravity Bridge, который перемещает активы между Ethereum и экосистемой Cosmos, подвергся взлому — злоумышленник вывел около $5,4 млн.

По предварительной оценке исследователей безопасности, причиной стала компрометация ключей подписи, а не уязвимость в смарт-контракте.

Необычный отток средств первым заметил ончейн-аналитик Specter — по его словам, злоумышленник, предположительно, получил доступ к ключам подписи кроссчейн-моста и провел серию несанкционированных выводов.

Позже инцидент подтвердила компания PeckShield. По ее подсчетам, похищенное распределилось так: около $4,3 млн в USDC, 274 WETH примерно на $553 000, $434 000 в USDT и 14,16 токена PAXG примерно на $64 000.

Средства ушли на адрес, оканчивающийся на 7C62da1F9. Взломанный контракт Specter определил как оканчивающийся на 1F2D906.

«Произошел неприятные инцидент с Gravity. Участники сети должны остановить узлы валидаторов и оркестраторы на время расследования», — написала команда в X.

Позже команда уточнила, что работа моста приостановлена.

Злоумышленник начал выводить средства почти сразу. По данным PeckShield, часть похищенного уже прошла через сервис моментального обмена ChangeNow и биржу Binance.

На момент публикации отчета на кошельке атакующего оставалось около 2100 ETH, или примерно $4,23 млн. Снимок Arkham, которым поделился Specter, зафиксировал на связанном кошельке еще около $4,16 млн в Ethereum.

По теме: мост Verus-Ethereum взломали на $11,58 млн

Уязвимость в ключах, а не в коде

Gravity Bridge блокирует токены в сети Ethereum и выпускает их «зеркальные» копии в Cosmos. Каждый перевод подтверждается подписями валидаторов.

Если злоумышленник получает достаточно действительных ключей, система принимает поддельные выводы за легитимные. Это совпадает с ранней версией исследователей: брешь возникла на уровне авторизации, а не в логике контракта.

Если версия подтвердится, случай впишется в характерную для 2026 года картину атак на мосты, когда уязвимыми оказываются ключи, а не код смарт-контрактов. Та же первопричина прослеживалась во взломах Kelp DAO и Resolv ранее в этом году — проверенный аудитом код в обоих случаях не был слабым местом.

Потери криптоиндустрии от взломов в 2026 году уже исчисляются миллиардами долларов, а кроссчейн-мосты остаются одним из главных источников таких потерь. Эта инфраструктурная категория давно в числе самых прибыльных целей: от взлома Nomad на $190 млн в 2022 году до атаки на Orbit Bridge на $81,5 млн в 2024.