攻撃者が5月30日未明、Gravity Bridgeのイーサリアム側コントラクトから約540万ドルを流出させた。オンチェーンの調査によると、スマートコントラクトの欠陥ではなく、署名鍵の漏洩が原因とみられる。
この不正流出では、USDコイン(USDC)で430万ドル、イーサ(ETH)は274ETHで55万3000ドル相当を引き出した。PeckShieldはさらに、テザー(USDT)で43万4000ドル、PAYGトークンで6万4000ドルも流出したと記録。
Gravity Bridgeハッキングの手口
流出は同ブリッジの認証済みイーサリアムコントラクトから発生し、特権アクセスによって正規の出金のように見せて資金を引き出した。オンチェーンアナリストのSpecterが最初にこの事案を指摘し、窃盗に関与した2つの攻撃者アドレスを特定した。
PeckShieldによると、ハッカーは一部の資金をChangeNowやバイナンスを経由して移動し、出自を隠した。Cyvers Alertsなど他のオンチェーン監視サービスもこの金額を直後に確認した。
Xで最新ニュースをフォロー できる
攻撃者は大半のステーブルコインをETHに交換し、現在は約2102ETH、423万ドル相当を保持。
ブリッジは依然として暗号資産の弱点
Gravity BridgeはイーサリアムとCosmosエコシステム(IBC)を接続し、USDCなどの資産を複数チェーン間で移動できる。流出前、同ブリッジのロック総額は約1150万ドルに達していた。
過去のクロスチェーン・ブリッジ攻撃では、RoninやPoly Networkの事例が鍵の集中管理のリスク、すなわち単一障害点となることを露呈した。
PeckShieldは、5月だけで主要なブリッジ8件が合計3億2860万ドルの被害を受けたと集計した。
以前には、Meterブリッジのハッキングなど、バリデーター鍵の不具合が業界全体で相次いだ。
ステーブルコイン発行会社は数分でアドレスをブラックリスト化できるが、ChangeNowのような非カストディ型サービス経由だと、資金の回収がより困難となる。
残るETHもEtherscanで完全に追跡可能だが、資金は分割やミキシング、他チェーンへの橋渡しが可能である。
Gravity Bridgeチームは現時点で公表コメントを出していない。
