Gravity Bridge suspendu après qu'un drain de 5,4 M$ frappe le lien Ethereum-Cosmos

Gravity Bridge a perdu environ 5,4 millions de dollars suite à un drain survenu tôt samedi, que des chercheurs en sécurité ont lié à une possible compromission de clé de signature.

L'analyste on-chain Specter a été le premier à signaler les retraits inhabituels, indiquant que le schéma suggérait que les clés de signature du bridge avaient peut-être été compromises plutôt que son code de smart contract. La société de sécurité PeckShield a ensuite publié une évaluation similaire et partagé une ventilation des actifs volés.

Gravity Bridge suspend ses opérations après un drain de fonds

Selon PeckShield, les actifs volés comprenaient environ 4,3 millions de dollars en USDC, 274 ethers wrappés d'une valeur d'environ 553 000 dollars, 434 000 dollars en USDT et 14,16 PAXG valant environ 64 000 dollars. La société a indiqué que les fonds ont été transférés vers un portefeuille se terminant par 7C62da1F9.

Specter a identifié le contrat Gravity Bridge affecté comme étant une adresse se terminant par 1F2D906. L'analyste a indiqué que le schéma de transaction semblait cohérent avec des retraits non autorisés approuvés via une autorisation compromise, plutôt qu'une exploitation directe de la logique du contrat.

L'équipe Gravity a ensuite confirmé un incident sur X et demandé aux validateurs d'arrêter leurs validateurs et orchestrateurs pendant que l'enquête se poursuit. Dans une autre mise à jour, l'équipe a indiqué que le bridge avait été suspendu pendant qu'elle examinait l'attaque.

Les chercheurs pointent vers la couche d'autorisation

Gravity Bridge connecte Ethereum à l'écosystème Cosmos en verrouillant des actifs sur Ethereum et en frappant des tokens miroirs sur Cosmos. Les signatures des validateurs autorisent le mouvement des actifs à travers le bridge.

Selon l'évaluation initiale de Specter, un attaquant contrôlant suffisamment de clés de signature valides pourrait faire paraître les retraits légitimes aux yeux du système. Le rapport de PeckShield s'est également concentré sur les fonds volés et le mouvement des actifs après le drain.

L'équipe Gravity n'a pas publié de post-mortem, de sorte que le point d'entrée exact reste non confirmé. Ses mises à jour publiques ont uniquement confirmé l'incident, la suspension et l'enquête en cours.

L'attaquant déplace les fonds via des services de swap

PeckShield a indiqué qu'une partie des fonds volés avait déjà transité par ChangeNow et Binance après l'attaque. La société a également signalé que le portefeuille volé détenait encore environ 2 100 ETH, d'une valeur d'environ 4,23 millions de dollars, au moment de la publication de sa mise à jour.

Un instantané de portefeuille partagé par Specter via Arkham a montré qu'une adresse associée détenait environ 4,16 millions de dollars en ether. Ces mouvements montrent que les enquêteurs suivent les fonds à travers plusieurs services et portefeuilles.

Gravity Bridge a été construit par des contributeurs, dont l'équipe Althea, et est sécurisé par le token Graviton, ou GRAV. Le protocole n'a pas encore expliqué si l'infrastructure des validateurs, les clés privées ou une autre faiblesse opérationnelle a permis les retraits.

Si les premières évaluations sont confirmées, l'incident Gravity Bridge rejoindrait d'autres attaques de bridges en 2026 où les défaillances de gestion des clés, plutôt que le code de contrat audité, ont joué un rôle central. Des préoccupations similaires sont apparues dans les incidents Kelp DAO et Resolv plus tôt cette année, selon des chercheurs en sécurité cités dans ces affaires.

TRM Labs a rapporté que les attaques de bridges restent une source majeure de pertes crypto en 2026. La perte de Gravity Bridge est moins importante que certaines violations de bridges passées, notamment l'exploit Nomad de 190 millions de dollars en 2022 et le hack Orbit Bridge de 81,5 millions de dollars en 2024.