Gravity Bridge遭遇大规模资产盗取，疑因密钥泄露引发

在安全研究人员揭示异常提款行为可能源于签名密钥泄露后，Gravity Bridge遭受约540万美元的资产损失。据PeckShield披露，被盗资产涵盖USDC、封装以太币、USDT及PAXG，其中部分资金已通过ChangeNow和币安等平台进行转移。

核心授权机制遭滥用，非智能合约逻辑漏洞

链上分析师Specter最早识别出异常交易模式，指出攻击并非基于合约代码缺陷，而是源于跨链桥所依赖的签名密钥体系遭到破坏。该结论获得PeckShield进一步验证，其详细列出了被盗资产构成：约430万美元的USDC、价值55.3万美元的274枚封装以太币、43.4万美元的USDT以及6.4万美元的14.16枚PAXG。

资金流向追踪显示多层洗钱迹象

这些资产被转入一个以“7C62da1F9”结尾的钱包地址。Specter确认受影响的跨链桥合约地址以“1F2D906”结尾，并强调交易行为符合通过已泄露授权权限执行的非法操作特征。目前，该钱包仍持有约2,100枚以太币，估值接近423万美元；另一相关地址则持有约416万美元的以太币，表明资金正在多个平台间流转。

Gravity团队已正式回应事件，宣布暂停跨链桥服务，并要求所有验证者与协调者在调查期间停止运行节点。尽管尚未发布完整技术分析报告，但官方确认了事件发生、服务中断及内部审查正在进行中。

授权层风险凸显，行业隐患持续暴露

Gravity Bridge采用锁定以太坊资产并在Cosmos生态发行对应镜像代币的方式实现跨链互通，其运作依赖于验证者提供的签名授权。Specter分析指出，若攻击者获取足够数量的有效签名密钥，即可伪造合法提款指令，绕过系统风控。

PeckShield报告亦聚焦于资金去向追踪，而项目方仍未明确说明具体攻击入口。当前信息仅限于事件确认、服务冻结与调查启动。值得注意的是，若此次评估属实，该事件将成为2026年又一起由密钥管理失效而非合约漏洞引发的跨链桥攻击案例。

同类风险频发，行业安全警钟再响

类似问题此前已在今年早些时候的Kelp DAO与Resolv事件中显现。TRM Labs数据显示，跨链桥仍是2026年加密资产损失的主要来源之一。尽管此次损失规模低于历史重大事件（如2022年Nomad损失1.9亿美元，2024年Orbit Bridge损失8,150万美元），但其反映出的安全短板不容忽视。