Gravity Bridge traci miliony dolarów przez przejęte klucze autoryzacyjne

W sobotę rano doszło do masowego i niespodziewanego odpływu środków z protokołu międzyłańcuchowego Gravity Bridge. Napastnik wyprowadził z systemu aktywa o łącznej wartości około 5,4 miliona dolarów. Analitycy bezpieczeństwa blockchain szybko wskazali, że przyczyną tego poważnego incyntentu nie była żadna podatność ani błąd w kodzie źródłowym inteligentnego kontraktu. Wszystkie zebrane dowody wskazują na bezpośredni wyciek lub fizyczną kradzież prywatnych kluczy podpisujących, które służą do autoryzacji oraz zatwierdzania transakcji przechodzących między sieciami Ethereum i Cosmos.

Nietypowe i podejrzane operacje na inteligentnym kontrakcie zauważył jako pierwszy niezależny analityk on-chain działający pod pseudonimem Specter. Niedługo po jego publicznym ostrzeżeniu, te niepokojące doniesienia oficjalnie potwierdziła wyspecjalizowana firma audytorska PeckShield, która podjęła natychmiastowe śledztwo w tej sprawie.

Architektura techniczna systemu Gravity Bridge opiera się na prostym mechanizmie blokowania konkretnych tokenów w sieci Ethereum i jednoczesnym wydawaniu ich odzwierciedlonych odpowiedników w ekosystemie Cosmos. Każda taka operacja przeniesienia majątku wymaga bezwzględnego zatwierdzenia cyfrowymi podpisami ze strony określonej grupy walidatorów. W tym konkretnym przypadku napastnik zdołał zdobyć nielegalny dostęp do wymaganej liczby prywatnych kluczy autoryzacyjnych. Pozwoliło mu to na sprawne wygenerowanie fałszywych instrukcji wypłaty środków, które zautomatyzowany system uznał za w pełni legalne i poprawne zlecenia.

Analityk Specter precyzyjnie zidentyfikował drenażowany kontrakt jako strukturę kończącą się w blockchainie znakami 1F2D906. Skradzione fundusze trafiły bezpośrednio na nowy adres agresora z końcówką 7C62da1F9. Złodziej uderzył metodycznie w kilka różnych pul płynności, co pozwoliło mu na jednoczesne przejęcie bardzo zróżnicowanych cyfrowych aktywów i błyskawiczne uszczuplenie całkowitych rezerw finansowych protokołu.

Opublikowany raport PeckShield zawiera wyjątkowo precyzyjne wyliczenie wszystkich strat. Z mostu zniknęło dokładnie 4,3 miliona dolarów w popularnym stablecoinie USDC, 274 tokeny wrapped ether o rynkowej wartości 553 000 dolarów, 434 000 dolarów w tetherze oraz 14,16 tokena PAXG wycenianych na około 64 000 dolarów. Łączna suma strat stawia to zdarzenie w rzędzie najbardziej dotkliwych incydentów bezpieczeństwa Web3 w końcówce maja.

Deweloperzy odpowiedzialni za projekt zareagowali na trwający incydent poprzez opublikowanie oficjalnego komunikatu w serwisie X w sobotę. Zespół wezwał wszystkich aktualnych walidatorów oraz niezależne podmioty uruchamiające powiązane orkiestratory do natychmiastowego wstrzymania pracy węzłów sieciowych. Most został całkowicie zablokowany, aby uniemożliwić realizację dalszych nieautoryzowanych transferów i zabezpieczyć pozostały w pulach kapitał inwestorów na czas prowadzenia dalszego śledztwa.

Haker podjął agresywną próbę zatarcia śladów natychmiast po udanym drenażu środków. Firma PeckShield udokumentowała w swoim raporcie, że część skradzionych aktywów przeszła już przez błyskawiczny zdecentralizowany serwis wymiany ChangeNow oraz trafiła bezpośrednio na giełdę Binance, gdzie prawdopodobnie podjęto próby upłynnienia łupu.

Większość skradzionego kapitału wciąż jednak spoczywa nienaruszona na głównym koncie agresora. Na adresie powiązanym bezpośrednio z atakiem zablokowane pozostaje około 2100 ETH. Wartość tej konkretnej kryptowalutowej transzy wynosi obecnie 4,23 miliona dolarów. Nowoczesne narzędzia analityczne firmy Arkham pokazują zbieżne dane, wskazując powiązany portfel holdingowy zawierający Ether o łącznej wartości około 4,16 miliona dolarów, który jest stale monitorowany przez społeczność.

Przypadek Gravity Bridge idealnie odzwierciedla strukturę cyberzagrożeń, z którymi rynek aktywów cyfrowych mierzy się w ostatnich miesiącach. Mosty międzyłańcuchowe generują obecnie statystycznie największe straty finansowe w całym sektorze kryptowalut. Raporty analityczne TRM Labs jednoznacznie wskazują te konkretne rozwiązania technologiczne jako główny wektor ataków, przez który łączne straty branży w tym roku liczy się już w miliardach dolarów.

Wcześniej w tym roku identyczny problem dotknął bezpośrednio projekty Kelp DAO oraz Resolv. Tam również zewnętrzni audytorzy nie znaleźli żadnych błędów w logicznej strukturze programistycznej. Słabym ogniwem okazały się wyłącznie wewnętrzne procedury przechowywania i zabezpieczania kluczy kryptograficznych. Kwietniowe statystyki zapisały się już w historii jako najgorszy okres pod względem liczby naruszeń infrastruktury Web3.

Most Gravity Bridge został stworzony przy dużym udziale zewnętrznych programistów z zespołu Althea i opiera się na natywnym tokenie zabezpieczającym o nazwie graviton. Obecne straty na poziomie 5,4 miliona dolarów są relatywnie skromne przy historycznych rekordach tego sektora, takich jak pamiętny exploit platformy Nomad na 190 milionów dolarów w 2022 roku czy potężny hack na Orbit Bridge o wartości 81,5 miliona dolarów z 2024 roku. Twórcy systemu nie opublikowali jeszcze pełnego i szczegółowego raportu poawaryjnego, a oficjalni przedstawiciele Althea nie odpowiedzieli na prośby o komentarz prasowy. Wyprowadzony adres pozostaje pod stałą i całodobową obserwacją agencji detektywistycznych on-chain.