Gravity Bridge, most tokenowy oparty na Cosmos, został okradziony na kwotę 5,4 miliona dolarów w zdarzeniu, które badacze opisują jako prawdopodobne naruszenie kluczy prywatnych. Kradzież obejmowała tokeny USDC, ether, Tether oraz PAYG, a część skradzionych środków została już przekierowana przez usługi mixujące ChangeNow i Binance, co wskazuje na próbę zaciemnienia śladów atakującego.
Skala kradzieży i sposób jej realizacji wskazują raczej na wewnętrzne naruszenie bezpieczeństwa niż na lukę w smart kontraktach. Atakujący mający dostęp do kluczy podpisujących może przesuwać aktywa bez uruchamiania zabezpieczeń wielopodpisowych, które zazwyczaj chronią mosty między łańcuchami. Architektura Gravity Bridge opiera się na konsensusie walidatorów do autoryzacji transferów pomiędzy Cosmos a Ethereum – w przypadku przejęcia tych kluczy mechanizm konsensusu przestaje działać.
Kradzież pogłębia już niestabilny okres dla bezpieczeństwa mostów blockchain. Infrastruktura wielołańcuchowa wielokrotnie okazywała się podatna na zarówno techniczne exploity, jak i błędy operacyjne. Użytkownicy, którzy korzystali z Gravity Bridge do przenoszenia płynności między łańcuchami, muszą teraz rozważyć, czy ich pozostałe depozyty nie są zagrożone, a incydent ponownie zwraca uwagę na kwestie zarządzania kluczami w ekosystemie Cosmos.
Badacze śledzą części skradzionych środków przepływające przez znane interfejsy giełd i mikserów, co sugeruje, że atakujący może próbować spieniężyć kradzież na publicznych platformach. Binance oraz ChangeNow mają wgląd w te przepływy, jednak śledzenie skradzionych aktywów na wielu platformach z reguły przynosi ograniczone efekty w odzyskiwaniu środków. Operatorzy mostu nie ogłosili jeszcze oficjalnego harmonogramu identyfikacji dokładnego źródła naruszenia ani planów przywrócenia zaufania użytkowników.
Należy oczekiwać oficjalnych komunikatów zespołu Gravity Bridge, które przedstawią zakres incydentu, czy inne klucze walidatorów zostały ujawnione oraz jakie zmiany operacyjne zostaną wdrożone. Rynek oceni, czy zaufanie osłabnie jeszcze bardziej po pełniejszej analizie skutków naruszenia.
Gravity Bridge stracił 5,4 mln USD w wyniku podejrzanego naruszenia kluczy
Gravity Bridge oparty na Cosmos został okradziony na 5,4 miliona dolarów, najprawdopodobniej przez kompromitację kluczy prywatnych. Skradzione tokeny zostały częściowo przetransferowane przez giełdy i miksery.