Не код, а люди. Хакер украл $5,4 млн из Gravity Bridge — без уязвимостей и взломов
NewsMakerЛучший грабитель — тот, кто умеет ждать.
Мосты между блокчейнами снова показали свою слабую сторону: деньги могут исчезнуть не из-за ошибки в коде, а из-за контроля над теми, кто подтверждает операции. Так произошло с Gravity Bridge, где злоумышленник вывел около $5,4 млн после того, как захватил управление набором валидаторов в сети Ethereum.
Gravity Bridge связывает Ethereum с цепочкой Gravity, построенной на базе Cosmos. Контракт в Ethereum выдаёт средства только после того, как операцию подтверждают валидаторы с двумя третями голосующей силы. По данным BlackHart, атакующий сумел добиться подписей от настоящих валидаторов и изменил состав набора: вместо 58 участников осталось 34. Такой шаг сосредоточил контроль и позволил затем подписать вывод средств.
Из моста вывели 4,35 млн USDC, 274 ETH, 434 тыс. USDT и 14,16 PAXG, обеспеченного золотом. Общая сумма ущерба составила около $5,4 млн. После кражи активы обменяли на ETH и перевели на отдельный кошелёк. Часть средств прошла через ChangeNow и Binance, а на момент отчёта у атакующего оставалось примерно 2059 ETH.
Код самого контракта Gravity Bridge, по оценке BlackHart, не был взломан. Контракт сработал так, как был устроен: проверил подписи валидаторов и принял новое состояние. Проблема оказалась в том, что подписи стали единственным барьером. В системе не было задержки перед тем, как менять набор валидаторов, отдельного защитного механизма, экстренной остановки или лимита на быстрый вывод крупных сумм.
Атака началась с кошелька, который в начале 2025 года уже работал с Gravity как законный ретранслятор, а затем около 280 дней не проявлял активности. 28 мая 2026 года кошелёк вызвал функцию updateValset и сократил набор валидаторов с 58 до 34. Старый набор подтвердил изменение подписью с нужным порогом голосов.
Примерно через 28 часов новый, более концентрированный набор валидаторов подписал четыре пакета вывода. Все активы ушли на один адрес, после чего токены обменяли на ETH и свели на кошельке для хранения. BlackHart считает наиболее вероятным не случайное согласие десятков валидаторов, а то, что злоумышленники скомпрометировали автоматизированную систему подписания.
Другие мосты и протоколы, по данным отчёта, не пострадали. Средства, которые находились в контракте Gravity Bridge на Ethereum, оказались выведены. Вернуть украденные активы пока не удалось.
Случай напоминает атаки на Ronin Bridge и Harmony Horizon в 2022 году, где злоумышленники также получили доступ к достаточному числу подписей и смогли вывести средства без взлома логики контракта. В подобных схемах опасность кроется не только в программном коде, но и в том, кто управляет ключами, как устроена проверка операций и есть ли у команды время остановить подозрительные изменения.
BlackHart рекомендует Gravity и валидаторам заменить все ключи, проверить цепочку автоматического подписания и восстановить законный состав валидаторов только после ручной проверки. Для мостов в целом специалисты советуют добавлять задержку, прежде чем менять состав валидаторов, механизм экстренной паузы и лимиты на вывод, чтобы один захват подписей не превращался в мгновенное опустошение контракта.
Мосты между блокчейнами снова показали свою слабую сторону: деньги могут исчезнуть не из-за ошибки в коде, а из-за контроля над теми, кто подтверждает операции. Так произошло с Gravity Bridge, где злоумышленник вывел около $5,4 млн после того, как захватил управление набором валидаторов в сети Ethereum.
Gravity Bridge связывает Ethereum с цепочкой Gravity, построенной на базе Cosmos. Контракт в Ethereum выдаёт средства только после того, как операцию подтверждают валидаторы с двумя третями голосующей силы. По данным BlackHart, атакующий сумел добиться подписей от настоящих валидаторов и изменил состав набора: вместо 58 участников осталось 34. Такой шаг сосредоточил контроль и позволил затем подписать вывод средств.
Из моста вывели 4,35 млн USDC, 274 ETH, 434 тыс. USDT и 14,16 PAXG, обеспеченного золотом. Общая сумма ущерба составила около $5,4 млн. После кражи активы обменяли на ETH и перевели на отдельный кошелёк. Часть средств прошла через ChangeNow и Binance, а на момент отчёта у атакующего оставалось примерно 2059 ETH.
Код самого контракта Gravity Bridge, по оценке BlackHart, не был взломан. Контракт сработал так, как был устроен: проверил подписи валидаторов и принял новое состояние. Проблема оказалась в том, что подписи стали единственным барьером. В системе не было задержки перед тем, как менять набор валидаторов, отдельного защитного механизма, экстренной остановки или лимита на быстрый вывод крупных сумм.
Атака началась с кошелька, который в начале 2025 года уже работал с Gravity как законный ретранслятор, а затем около 280 дней не проявлял активности. 28 мая 2026 года кошелёк вызвал функцию updateValset и сократил набор валидаторов с 58 до 34. Старый набор подтвердил изменение подписью с нужным порогом голосов.
Примерно через 28 часов новый, более концентрированный набор валидаторов подписал четыре пакета вывода. Все активы ушли на один адрес, после чего токены обменяли на ETH и свели на кошельке для хранения. BlackHart считает наиболее вероятным не случайное согласие десятков валидаторов, а то, что злоумышленники скомпрометировали автоматизированную систему подписания.
Другие мосты и протоколы, по данным отчёта, не пострадали. Средства, которые находились в контракте Gravity Bridge на Ethereum, оказались выведены. Вернуть украденные активы пока не удалось.
Случай напоминает атаки на Ronin Bridge и Harmony Horizon в 2022 году, где злоумышленники также получили доступ к достаточному числу подписей и смогли вывести средства без взлома логики контракта. В подобных схемах опасность кроется не только в программном коде, но и в том, кто управляет ключами, как устроена проверка операций и есть ли у команды время остановить подозрительные изменения.
BlackHart рекомендует Gravity и валидаторам заменить все ключи, проверить цепочку автоматического подписания и восстановить законный состав валидаторов только после ручной проверки. Для мостов в целом специалисты советуют добавлять задержку, прежде чем менять состав валидаторов, механизм экстренной паузы и лимиты на вывод, чтобы один захват подписей не превращался в мгновенное опустошение контракта.