Gravity Bridge因密钥外泄引发超500万美元资产损失

在安全研究人员披露异常提款行为可能与签名密钥泄露相关后，Gravity Bridge遭受约540万美元的资产损失。PeckShield指出，被盗资产涵盖USDC、封装以太币、USDT以及PAXG，部分资金已被转移至ChangeNow和币安平台。

授权机制被滥用，非合约逻辑漏洞所致

链上分析师Specter最早识别出异常交易模式，判断攻击源于跨链桥的签名密钥泄露，而非智能合约本身存在缺陷。随后，PeckShield发布详细评估报告，确认被盗资产包括约430万美元的USDC、价值约55.3万美元的274枚封装以太币、43.4万美元的USDT，以及6.4万美元的14.16枚PAXG。这些资金均流入一个以“7C62da1F9”结尾的钱包地址。

跨链验证者权限遭非法利用，系统信任机制受冲击

Specter确认受影响的合约地址以“1F2D906”结尾，并指出交易行为符合通过已泄露的授权密钥执行的未授权操作特征，表明攻击者已获取足够验证者签名权，使非法提款在系统中呈现为合法流程。该发现凸显了跨链桥对验证者私钥管理的高度依赖性。

资金经多层兑换平台流转，追踪难度上升

据PeckShield披露，攻击发生后部分被盗资产通过ChangeNow和币安完成转换。其更新显示，被盗钱包仍持有约2,100枚以太币，估值接近423万美元。Specter通过Arkham提供的快照数据进一步确认，关联地址持有约416万美元的以太币，反映出资金正经历复杂路径的跨平台转移。

Gravity Bridge由Althea团队主导开发，依托Graviton代币实现安全验证。目前尚未公布具体漏洞来源，仅表示事件已确认，服务已暂停，正在开展全面审查。公开信息仅限于事件确认、服务中断及调查进行中等基本进展。

若初步分析成立，此次事件将成为2026年又一起由密钥管理失效而非代码审计疏漏引发的跨链桥攻击案例。类似风险此前已在Kelp DAO与Resolv事件中显现，引发行业对去中心化验证体系安全性的再审视。

TRM Labs数据显示，跨链桥攻击仍是2026年加密资产损失的主要形式之一。尽管此次损失金额低于历史重大事件如2022年Nomad的1.9亿美元或2024年Orbit Bridge的8,150万美元，但其揭示的治理层面隐患不容忽视。