Ang Gravity Bridge, isang cross-chain protocol na naglilipat ng mga asset sa pagitan ng Ethereum at ng Cosmos ecosystem, ay tinangayan ng humigit-kumulang $5.4 milyon noong Sabado ng umaga sa pinaniniwalaan ng mga mananaliksik sa seguridad na isang nakompromisong signing key sa halip na isang smart contract bug.

Ang hindi pangkaraniwang paglabas ng pondo ay unang naitala ng onchain analyst na si Specter at kalaunan ay kinumpirma ng security firm na PeckShield. Sinabi ni Specter na tila nakompromiso ang mga signing key ng bridge, na nagpapahintulot sa umaatake na magsagawa ng serye ng mga di-awtorisadong pag-withdraw.

Ang mga ninakaw na pondo ay binubuo ng humigit-kumulang $4.3 milyon sa USDC, 274 wrapped ether na nagkakahalaga ng humigit-kumulang $553,000, $434,000 sa tether at 14.16 PAXG tokens na nagkakahalaga ng humigit-kumulang $64,000, ayon sa bilang ng PeckShield. Ang mga asset ay ipinadala sa isang address na nagtatapos sa 7C62da1F9, kung saan ang pinagnakawan na kontrata ay kinilala ni Specter bilang isang nagtatapos sa 1F2D906.

"Nagkaroon ng hindi kanais-nais na insidente sa Gravity," isinulat ng team sa X noong Sabado. "Dapat ihinto ng mga validator ang kanilang mga validator at orchestrator habang iniimbestigahan ang insidenteng ito." Sa isang follow-up na post, sinabi ng team na kasalukuyang pinahinto ang bridge habang iniimbestigahan ang pag-atake. 

Agad na sinimulan ng umaatake ang paglipat ng pondo. Sinabi ng PeckShield na isang bahagi ng ninakaw ay nalabhan na sa pamamagitan ng instant-swap service na ChangeNow at sa pamamagitan ng Binance, habang ang wallet ng pagnanakaw ay naglalaman pa rin ng humigit-kumulang 2,100 ETH, o humigit-kumulang $4.23 milyon, sa oras ng ulat nito. Ipinakita ng isang snapshot ng Arkham na ibinahagi ni Specter ang isang kaugnay na wallet na may humigit-kumulang $4.16 milyon sa ether.

Gumagana ang Gravity Bridge sa pamamagitan ng pag-lock ng mga token sa network ng Ethereum at paggawa ng mirrored na bersyon ng mga token sa Cosmos, na may mga signature ng validator na nag-aawtorisa sa bawat paglipat. Kung makakakuha ang umaatake ng sapat na valid na signing key, ituturing ng sistema ang mga pekeng withdrawal bilang lehitimo. Ang mekanismong iyon ay tila naaayon sa paunang pagbasa ng mga mananaliksik na ang paglabag ay nasa authorization layer sa halip na sa contract logic.

Kung makumpirma, ang insidente ay magiging akma sa patuloy na pattern ng mga pag-atake sa bridge ng 2026, kung saan ang mga pangunahing isyu sa seguridad ang nagbibigay ng mga kahinaan sa halip na mga depekto sa pinagbabatayan na smart contract code. Isang katulad na ugat ng sanhi ang lumitaw sa mga exploit ng Kelp DAO at Resolv mas maaga ngayong taon, kung saan ang na-audit na code ay hindi ang mahinang punto.

Sa halagang $5.4 milyon, ang pagkawala ng Gravity Bridge ay katamtaman kumpara sa mga pangunahing hack sa bridge ngayong taon, ngunit ito ay nagdaragdag sa kamakailang malaking pagtaas ng mga insidente, kung saan ang Abril ang pinakamaraming nahack na buwan sa talaan. Ang mga bridge ay naging isang mahalagang target ng pag-atake noong 2026 at isang pangunahing dahilan ng isang taon kung saan ang mga pagkalugi sa hack ng crypto ay umabot sa bilyun-bilyon, ayon sa TRM Labs. Ang kategoryang ito ay may mahabang kasaysayan bilang isa sa pinakamayaman na target ng crypto, mula sa $190 milyon na Nomad exploit noong 2022 hanggang sa $81.5 milyon na Orbit Bridge hack noong 2024.

Ang Gravity Bridge, na binuo ng mga contributor kabilang ang Althea team at sinigurado ng native nitong Graviton (GRAV) token, ay hindi pa naglalabas ng postmortem, na nag-iiwan ng hindi kumpirmado ang eksaktong entry point. Hindi agad na makontak ng The Block ang Gravity Bridge o Althea para sa komento.