Cosmoksen Gravity Bridge menetti 5,4 miljoonaa – kyse oli avainten murrosta, ei sopimusvirheestä
- Gravity Bridge menetti 5,4 miljoonaa dollaria, ei 54 miljoonaa kuten osa otsikoista esitti.
- Hyökkäys tehtiin allekirjoitusavaimen kompromissilla, ei älysopimusvirheellä.
- Sillan TVL romahti DeFiLlaman mukaan 11,82 miljoonasta 6,24 miljoonaan dollariin vuorokaudessa.
- Toukokuussa 2026 on raportoitu kahdeksan siltahyökkäystä, joiden yhteissumma on 328,6 miljoonaa dollaria.
Cosmos-ekosysteemin ja Ethereumin välinen silta tyhjennettiin 30. toukokuuta. Hyökkääjä ei murtanut älysopimusta vaan käytti vuotanutta allekirjoitusavainta, ja keskustelu siirtyy nyt koodikatselmuksista validaattorien operatiiviseen turvallisuuteen.
Cosmos-ekosysteemin ja Ethereumin yhdistävä Gravity Bridge tyhjennettiin perjantaina 30. toukokuuta. Hyökkääjä vei 5,4 miljoonan dollarin edestä varoja Ethereumin puolelta. Otsikoissa kiertänyt luku "54M" on virheellinen, oikea summa on 5,4 miljoonaa.
Erotus on tärkeä, koska tapauksen mekaniikka poikkeaa tavanomaisesta siltahyökkäyksestä. On-chain-tutkija Specter Analyst sanoo, että kyse ei ole älysopimuksen haavoittuvuudesta vaan allekirjoitusavaimen vuodosta. Gravity Bridge perustuu varsin yksinkertaiseen lock-and-mint-malliin, jossa validaattorien multi-sig hyväksyy jokaisen siirron kahden lohkoketjun välillä. Kun yksi avain joutuu vääriin käsiin, hyökkääjä voi väärentää nostokäskyjä ilman, että itse koodissa on virhettä.
Lock-and-mint -silta
Käyttäjä lukitsee varat lähtöketjun sopimukseen, jolloin kohdeketjun puolella lyödään vastaava määrä siirrettävää tokenia. Nosto vaatii validaattoreilta allekirjoituksia. Jos riittävä määrä avaimia vuotaa, väärennetyt nostot näyttävät verkolle aidoilta.
Specter Analystin mukaan varat jakautuivat neljään omaisuuserään: 4,3 miljoonaa USDC:tä, 274 wETH-tokenia noin 553 000 dollarin arvosta, 434 000 dollaria USDT:tä ja 14 164 PAXG-yksikköä noin 64 000 dollarin arvosta.
Stablecoinit vaihdettiin nopeasti ethereumiksi, ja hyökkääjällä oli ostohetkellä noin 2 102 ETH. PeckShield vahvisti, että osa varoista on kierrätetty ChangeNowin vaihdon, jossa palvelu ei säilytä asiakasvaroja, ja Binancen kautta. Circle ja Tether eivät ole tätä artikkelia kirjoitettaessa julkisesti jäädyttäneet vuodettuja stablecoin-eriä.
Pääosoite hyökkäyksessä on 0x7B582033061b96cC3F9421e73a749ED7C62da1F9, toinen liitetty osoite päättyy …C7A47.
Gravity Bridge -tiimi julkaisi lyhyen kehotuksen validaattoreille:
– Validaattorien on pysäytettävä toimintansa ja orkestroijansa tutkimuksen ajaksi, tiimi kirjoitti X:ssä.
Validaattorit pysäyttivät toimintansa muutaman tunnin sisällä, ja silta on suljettu. DeFiLlaman datan perusteella Gravity Bridgen TVL putosi vuorokaudessa 11,82 miljoonasta 6,24 miljoonaan dollariin, eli 47 prosenttia. Pudotus vastaa rahamääräisesti suunnilleen raportoitua tappiota.
Konteksti on karu. PeckShieldin tilaston mukaan toukokuussa 2026 on raportoitu jo kahdeksan siltahyökkäystä, joiden yhteistappio on 328,6 miljoonaa dollaria. Koko vuoden hakkerointitappiot ovat DeFiLlaman mukaan 759,84 miljoonaa dollaria. Historiallisesti silloista on viety vielä isompia summia: Ronin 625 miljoonaa maaliskuussa 2022, Wormhole 325 miljoonaa helmikuussa 2022 ja Nomad 190 miljoonaa elokuussa samana vuonna.
Suomalaisille DeFi-käyttäjille tapaus on muistutus siitä, että sillat ovat edelleen ketjun heikoin lenkki. Gravity Bridgellä ei ole erillistä EU-operaattorijalanjälkeä, joten MiCA-asetus ei tartu suoraan tähän tapaukseen. Miten Binancen EU-yhteisöt suhtautuvat mahdollisiin pesun jälkiin tileillään? Se jää nähtäväksi.
