1 dzień temu
Atakujący wyprowadzili około 5,4 mln USD z kontraktu Gravity Bridge po stronie Ethereum wczesnym rankiem 30 maja. Badacze on-chain twierdzą, iż powodem był przejęty klucz podpisujący, a nie błąd w smart kontrakcie.
Sprawca ukradł 4,3 mln USD Coin (USDC) oraz 274 ether (ETH) o wartości 553 000 USD. PeckShield odnotował też 434 000 USD w Tether (USDT) oraz PAYG o wartości 64 000 USD.
Przebieg ataku na Gravity Bridge
Wypływ środków nastąpił z zatwierdzonego kontraktu Ethereum, do którego dostęp uprzywilejowany pozwolił na pozornie autoryzowane wypłaty. Jako pierwszy zdarzenie zidentyfikował analityk on-chain Specter, wskazując dwa adresy atakujących.
PeckShield podał, iż atakujący wyprał część środków przez ChangeNow i Binance, by ukryć pochodzenie. Cyvers Alerts i inni obserwatorzy on-chain potwierdzili te kwoty chwilę później.
#PeckShieldAlert The @gravity_bridge has been drained of ~$5.4M, including $4.3M $USDC, 274 $ETH (~$553K), $434K $USDT & 14.164 $PAYG ($64K)
The hacker has laundered a portion of the stolen assets through #ChangeNow & #Binance, and is still holding 2.102K $ETH (~$4.23M). pic.twitter.com/NJSNqc0G78
Śledź nas na X, aby otrzymywać najświeższe wiadomości na bieżąco
Atakujący zamienił większość stablecoinów na ETH i w tej chwili kontroluje około 2102 ETH wartych około 4,23 mln USD.
Mosty wciąż najsłabszym ogniwem w kryptowalutach
Gravity Bridge łączy Ethereum z ekosystemem Cosmos przez IBC. Pozwala przenosić aktywa, takie jak USDC, pomiędzy łańcuchami. Przed atakiem na moście było zablokowane około 11,5 mln USD.
Poprzednie ataki na mosty cross-chain jak Ronin czy Poly Network pokazały, iż scentralizowane klucze to pojedynczy punkt awarii.
PeckShield wyliczył wcześniej, iż tylko w maju doszło do ośmiu dużych włamań na mosty, na łączną kwotę 328,6 mln USD.
Wcześniejsze przypadki to atak na Meter bridge oraz powtarzające się awarie kluczy walidatorów w całej branży.
Emitenci stablecoinów mogą zablokować adres w kilka minut. Środków przelanych przez usługi niepowiernicze, jak ChangeNow, trudniej odzyskać.
Pozostałe ETH można w pełni śledzić na Etherscan, ale atakujący może je podzielić, zmiksować lub przesłać na inne łańcuchy.
Zespół Gravity Bridge nie wydał jeszcze publicznego oświadczenia.
BeInCrypto Polska - Gravity Bridge traci 5,4 mln USD w wyniku podejrzenia naruszenia klucza podpisującego
