據鏈上分析師 Specter 偵測,Cosmos 生態跨鏈協議 Gravity Bridge 的橋接合約金鑰疑似遭到外洩,約 540 萬美元資產被盜,包含 430 萬枚 USDC、274 枚 WETH、43.4 萬枚 USDT 及約 6.4 萬美元 PAYG。合約餘額僅剩約 8.5 萬美元,幾近清零。
(前情提要:StakeDAO部署者私鑰外洩,攻擊者在Arbitrum憑空鑄造5.4兆枚vsdCRV)
(背景補充:DeFi變成駭客後花園?一個月13起攻擊、6.3億美元被捲)
- Gravity Bridge 橋接合約金鑰外洩,約 540 萬美元資產被盜,合約餘額僅剩 8.5 萬美元
- 被盜資產含 430 萬 USDC、274 WETH、43.4 萬 USDT 及 6.4 萬美元 PAYG
- 三天內第二起 DeFi 私鑰外洩事件,2026 年橋接攻擊累計損失逾 3.28 億美元
鏈上分析師 Specter 於今日(5/30)發出警報,指出 Cosmos 生態老牌跨鏈橋 Gravity Bridge 的橋接合約金鑰疑似遭到外洩,攻擊者已從合約中搬走約 540 萬美元資產。根據 Etherscan 鏈上紀錄,Gravity Bridge 以太坊端合約目前餘額僅剩約 8.5 萬美元,幾近清零。
四種資產一次搬空
被盜資產明細為 430 萬枚 USDC(佔比約 79.6%)、274 枚 WETH(約 55.3 萬美元)、43.4 萬枚 USDT 以及價值約 6.4 萬美元的 PAYG。
涉案地址為 0x7B58…da1F9 與 0x4d3c…C7A47。鏈上紀錄顯示,第一個地址約 7 小時前由幣安入金,隨後將資金轉入第二個地址。目前第二個地址持有約 2,065 枚 ETH(約 416 萬美元),顯示攻擊者已將部分被盜資產兌換為 ETH。
Gravity Bridge 是 Cosmos 生態早期的跨鏈橋專案,主要負責 Cosmos 與以太坊之間的資產橋接。其以太坊端合約的安全模型理論上需要超過三分之二驗證者簽名才能轉移資金,金鑰外洩意味著攻擊者可能繞過了這道多簽防線。
三天兩起,私鑰成 DeFi 頭號殺手
這已經是三天內第二起私鑰外洩事件。5 月 27 日,StakeDAO 部署者私鑰同樣遭到外洩,攻擊者透過重配 LayerZero v2 跨鏈對等節點,在 Arbitrum 上憑空鑄造超過 5.4 兆枚 vsdCRV 並兌換 ETH。
私鑰外洩已成為 2026 年跨鏈橋駭客的首要攻擊手段。今年至少已發生 8 起重大橋接協議攻擊,累計損失超過 3.28 億美元,其中 Kelp DAO(2.93 億美元)與 Drift(2.85 億美元)為最大案例,兩者均涉及金鑰或管理員許可權遭竊。
OpenZeppelin 聯合創辦人 Manuel Araoz 上週才公開呼籲所有人退出包含 Aave、MakerDAO 在內的 DeFi 部位,稱「所有 DeFi 都不安全」。Gravity Bridge 事件再次印證了他的警告,攻擊者不需要找到智慧合約漏洞,只要拿到一把鑰匙。
截至發稿,Gravity Bridge 官方尚未就此事件發表宣告。
常見問題Gravity Bridge 是什麼?被盜了多少錢?
Gravity Bridge 是 Cosmos 生態的跨鏈橋協議,負責 Cosmos 與以太坊之間的資產橋接。此次橋接合約金鑰疑似外洩,約 540 萬美元資產被盜,包含 430 萬 USDC、274 WETH、43.4 萬 USDT 及 6.4 萬美元 PAYG。
2026 年跨鏈橋駭客攻擊有多嚴重?
今年至少 8 起重大橋接協議攻擊,累計損失超過 3.28 億美元。私鑰外洩為首要攻擊手段,Kelp DAO(2.93 億美元)與 Drift(2.85 億美元)為最大案例。
📍相關報導📍
THORChain 多鏈同步被駭!蒸發1080萬鎂、交易全面暫停,RUNE 急挫 12%
Verus 跨鏈橋駭客歸還 75% 被盜資金,協議方接受和解不追究
OpenZeppelin創辦人喊話「所有DeFi都不安全」:AI威脅讓Aave都難以防守
