Gravity Bridge suspendido tras un drenaje de $5.4M en el enlace Ethereum-Cosmos

Gravity Bridge ha perdido aproximadamente $5,4 millones tras un vaciamiento ocurrido el sábado por la mañana que los investigadores de seguridad vincularon a un posible compromiso de claves de firma.

El analista on-chain Specter fue el primero en señalar los retiros inusuales, indicando que el patrón sugería que las claves de firma del puente podrían haber sido comprometidas en lugar del código de su contrato inteligente. La firma de seguridad PeckShield publicó posteriormente una evaluación similar y compartió un desglose de los activos robados.

Gravity Bridge detiene operaciones tras el vaciamiento de fondos

Según PeckShield, los activos robados incluían aproximadamente $4,3 millones en USDC, 274 ether envuelto valorados en alrededor de $553,000, $434,000 en USDT y 14,16 PAXG con un valor aproximado de $64,000. La firma indicó que los fondos se movieron a una billetera que termina en 7C62da1F9.

Specter identificó el contrato de Gravity Bridge afectado como una dirección que termina en 1F2D906. El analista señaló que el patrón de transacciones parecía consistente con retiros no autorizados aprobados mediante una autorización comprometida, en lugar de una explotación directa de la lógica del contrato.

El equipo de Gravity confirmó posteriormente el incidente en X y pidió a los validadores que detuvieran sus validadores y orquestadores mientras continúa la investigación. En otra actualización, el equipo indicó que el puente había sido detenido mientras revisaba el ataque.

Los investigadores apuntan a la capa de autorización

Gravity Bridge conecta Ethereum con el ecosistema Cosmos bloqueando activos en Ethereum y acuñando tokens espejo en Cosmos. Las firmas de los validadores autorizan el movimiento de activos a través del puente.

Según la evaluación inicial de Specter, un atacante que controle suficientes claves de firma válidas podría hacer que los retiros parezcan legítimos para el sistema. El informe de PeckShield también se centró en los fondos robados y el movimiento de activos tras el vaciamiento.

El equipo de Gravity no ha publicado un análisis post-mortem, por lo que el punto de entrada exacto sigue sin confirmarse. Sus actualizaciones públicas solo han confirmado el incidente, la detención y la investigación en curso.

El atacante mueve fondos a través de servicios de intercambio

PeckShield indicó que parte de los fondos robados ya se habían movido a través de ChangeNow y Binance tras el ataque. La firma también informó que la billetera robada aún contenía aproximadamente 2,100 ETH, valorados en cerca de $4,23 millones, cuando publicó su actualización.

Una instantánea de billetera compartida por Specter a través de Arkham mostró una dirección relacionada que contenía aproximadamente $4,16 millones en ether. Estos movimientos demuestran que los investigadores están rastreando los fondos a través de varios servicios y billeteras.

Gravity Bridge fue construido por colaboradores, incluido el equipo de Althea, y está asegurado por el token Graviton, o GRAV. El protocolo aún no ha explicado si la infraestructura de validadores, las claves privadas u otra debilidad operativa permitió los retiros.

Si se confirman las evaluaciones iniciales, el incidente de Gravity Bridge se uniría a otros ataques a puentes en 2026 en los que los fallos en la gestión de claves, en lugar del código de contrato auditado, desempeñaron un papel central. Preocupaciones similares surgieron en los incidentes de Kelp DAO y Resolv a principios de este año, según investigadores de seguridad citados en esos casos.

TRM Labs ha informado que los ataques a puentes siguen siendo una fuente importante de pérdidas en criptomonedas en 2026. La pérdida de Gravity Bridge es menor que algunas brechas pasadas en puentes, incluido el exploit de Nomad por $190 millones en 2022 y el hackeo de Orbit Bridge por $81,5 millones en 2024.