Gravity Bridge, протокол між Ethereum та мережею Cosmos, 31 травня 2026 року призупинив роботу після підтвердженого злому. Зловмисники вивели $5.4 млн у різних токенах шляхом компрометації приватного ключа смарт-контракту моста. Вже за кілька годин після атаки частина коштів пройшла через сервіс ChangeNow та з'явилася на Binance.
Першим підозрілі відтоки помітив onchain-аналітик Specter і публічно повідомив про злом у X. Слідом компанія PeckShield підтвердила інцидент і опублікувала детальну розбивку вкрадених активів за типами токенів.
Як відбулася атака: компрометація ключа контракту
Gravity Bridge дозволяє переміщувати токени між Ethereum та Cosmos у двох напрямках: від Ethereum до Cosmos-DEX на зразок Osmosis і від мереж Cosmos назад до Ethereum-платформ, як-от Uniswap. На відміну від мостів з мультипідписом невеликої групи підписантів, авторизація транзакцій у Gravity Bridge спирається на повний набір валідаторів мережі. Саме це подається як перевага архітектури. Але атака обійшла цей захист зовсім іншим шляхом.
Зловмисник отримав доступ до приватного ключа самого смарт-контракту і підписував операції від імені контракту без будь-якого підтвердження з боку валідаторів. Команда протоколу закликала всіх валідаторів зупинити вузли та оркестраторів до завершення розслідування. Терміни відновлення роботи та плани компенсацій станом на кінець 31 травня не оголошені.
"Схоже, ключ контракту Gravity Bridge був скомпрометований, що призвело до крадіжки $5.4 млн."
- Specter, onchain-аналітик, з публікації в X від 31 травня 2026
Структура вкрадених активів: розбивка PeckShield
З $5.4 млн загального збитку левова частка припала на USDC: зловмисник вивів $4.3 млн у цьому стейблкоїні. Ще 274 одиниці Wrapped Ether коштували на момент крадіжки $553 000. До загальної суми додалися $434 000 у USDT та 14.164 токени PAX Gold вартістю $64 000.
На момент підготовки матеріалу гаманець атакуючого утримував близько 2 102 ETH вартістю $4.23 млн. Тобто основна маса вкраденого ще перебувала на одній адресі. Нативний токен Gravity Bridge, Graviton (GRAV), за добу після атаки знизився на 4% до $0.0007053 за даними CoinMarketCap.
Куди пішли гроші: ChangeNow та Binance
Схема виведення коштів повторює типову для подібних атак. Частина вкрадених токенів пройшла через ChangeNow, сервіс миттєвого обміну без обов'язкової верифікації особи. Після обміну кошти надійшли на Binance. Поетапна маршрутизація через non-KYC сервіси ускладнює ідентифікацію власника гаманця і дає атакуючому час для розподілу активів між різними адресами.
Аналітики PeckShield та інші onchain-служби ведуть відстеження гаманців у режимі реального часу. Попри те що значна частина ETH залишається на вихідній адресі, попередньо переміщені кошти повернути без добровільного сприяння централізованих платформ практично неможливо.
Восьмий злом моста за 2026 рік: цифри серії
За даними CoinTelegraph, атака на Gravity Bridge стала восьмим великим зломом крипто-моста у поточному році. Сукупні втрати по восьми інцидентах перевищили $328.6 млн. Найбільший з них, злом KelpDAO, аналітики приписують угрупованню Lazarus Group з КНДР. Тоді атакуючі вивели близько $290 млн, після чого TVL у DeFi впав з приблизно $100 млрд до $86 млрд лише за два дні.
Відтоки після злому KelpDAO зачепили навіть пули без прямого зв'язку з ураженими активами. Це показує: кожен великий злом б'є не лише по конкретному протоколу, але й по довірі до крос-чейн інфраструктури всього сегменту. Ще у квітні 2026 року аналітики JPMorgan у дослідницькому звіті назвали безпеку мостів ключовою перешкодою для масштабування DeFi до рівня інституційних вимог. Gravity Bridge підтвердив ці застереження менш ніж за два місяці.
Децентралізована архітектура проти компрометації ключа
Gravity Bridge позиціонується як більш децентралізоване рішення порівняно з мостами, де вузьке коло підписантів контролює авторизацію. Захист у ньому розподілений між усіма валідаторами, які використовують GRAV для стейкінгу. Але атака виявила структурну вразливість: якщо адміністративний ключ смарт-контракту зберігається без належного захисту, будь-яка логіка валідаторів стає нерелевантною.
Питання про зберігання та ротацію критичних ключів у протоколах з розподіленою авторизацією не нове для DeFi. Але після трьох великих зломів тільки за квітень-травень 2026 воно виходить із площини технічних дискусій у площину регуляторних вимог. Децентралізована архітектура зовні та вразливий ключ управління у центрі не є суперечністю. Це реальна конфігурація багатьох протоколів, і вона потребує окремого аудиту.
Перспективи для Cosmos та ринку мостів
Gravity Bridge поки що не повідомила ані про строки відновлення, ані про механізм компенсацій для постраждалих. При восьми великих атаках за п'ять місяців ринок крос-чейн мостів входить у другу половину 2026 року з наростаючим тиском з боку аудиторів безпеки та регуляторів. Кожен новий злом додає аргументів тим, хто вимагає обов'язкового незалежного аудиту перед запуском мостових протоколів.
Для Cosmos-екосістеми цей інцидент означає черговий удар по міжмережевій інфраструктурі після серії подібних подій у DeFi. Відновлення довіри залежатиме від здатності команди публічно підтвердити причини злому та провести незалежний аудит перед перезапуском. Без цього повернення ліквідності на міст буде повільним.
Коментарі
Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *