Gravity Bridge đã bị rút mất 5,4 triệu USD trong một vụ nghi ngờ lộ khóa ký vào ngày 31/5, buộc các validator phải tạm dừng giao thức cầu nối liên chuỗi kết nối Ethereum với Cosmos. Kẻ tấn công đã đánh cắp 4,3 triệu USD USDC, 274 WETH, 434.000 USD USDT và 14,164 PAXG, với số tiền một phần đã được rửa qua ChangeNow và Binance. Sự cố này là vụ khai thác cầu nối lớn thứ tám trong năm 2026, với tổng thiệt hại tích lũy lên tới 328,6 triệu USD.
Gravity Bridge đã mất 5,4 triệu USD sau một vụ nghi ngờ lộ khóa ký, buộc các validator phải tạm dừng giao thức cầu nối liên chuỗi vào ngày 31/5.
Nhà phân tích on-chain Specter là người đầu tiên phát hiện các luồng rút tiền bất thường, báo cáo rằng khóa hợp đồng của cầu nối có thể đã bị xâm phạm. "Có vẻ như khóa hợp đồng của Gravity Bridge đã bị xâm phạm, dẫn đến việc đánh cắp 5,4 triệu USD," Specter viết trên X.
Các tài sản bị đánh cắp bao gồm 4,3 triệu USD USDC, 274 wrapped ether trị giá khoảng 553.000 USD, 434.000 USD USDT và 14,164 token PAXG trị giá khoảng 64.000 USD, theo công ty bảo mật PeckShield. Kẻ tấn công đã chuyển đổi hầu hết stablecoin thành ether và hiện đang kiểm soát khoảng 2.102 ETH trị giá 4,23 triệu USD, PeckShield cho biết. Một phần số tiền thu được đã được rửa qua dịch vụ chuyển đổi tức thì ChangeNow và qua Binance, khi kẻ tấn công nhanh chóng di chuyển để phá vỡ liên kết giữa tài sản bị đánh cắp và ví khai thác ban đầu.
Vụ khai thác này bổ sung vào chuỗi các vụ tấn công cầu nối năm 2026 đã rút mất tổng cộng 328,6 triệu USD qua tám sự cố lớn, củng cố thêm lo ngại về bảo mật liên chuỗi. Gravity Bridge, kết nối Ethereum với hệ sinh thái Cosmos thông qua IBC, đã nắm giữ khoảng 11,5 triệu USD tổng giá trị bị khóa trước khi bị rút sạch.
Gravity Bridge đã xác nhận sự cố trên X, yêu cầu các validator tạm dừng validator và người điều phối của họ trong khi sự cố được điều tra. Trong một bài đăng tiếp theo, nhóm đã xác nhận cầu nối đã bị tạm dừng.
Không giống như các cầu nối phụ thuộc vào đa chữ ký tập trung, Gravity Bridge sử dụng toàn bộ tập hợp validator của mình để ủy quyền chuyển tiền, khiến nó trở thành một trong những thiết kế cầu nối phi tập trung hơn trong không gian, theo trang web của nó. Nghi ngờ lộ khóa ký đã chuyển trọng tâm khỏi mã hợp đồng thông minh và sang các kiểm soát ủy quyền của validator — một mô hình đã xuất hiện trong các sự cố cầu nối khác năm 2026 bao gồm vụ vi phạm KelpDAO đã rút mất khoảng 290 triệu USD vào tháng 4, được cho là do nhóm Lazarus của Triều Tiên thực hiện.
Các nhà phân tích của JPMorgan đã chỉ ra bảo mật cầu nối là một thách thức lớn trong một báo cáo nghiên cứu vào tháng 4, đặt câu hỏi liệu DeFi có thể mở rộng quy mô để đáp ứng nhu cầu của các tổ chức hay không. Sau vụ vi phạm KelpDAO, tổng giá trị bị khóa trên toàn bộ DeFi đã giảm từ gần 100 tỷ USD xuống còn khoảng 86 tỷ USD trong hai ngày, với các dòng chảy rút ra ảnh hưởng đến các pool không có mức độ tiếp xúc trực tiếp với các tài sản bị xâm phạm.
Token GRAV đã giảm 4% xuống còn 0,0007053 USD trong ngày qua, theo dữ liệu từ CoinMarketCap. Cầu nối vẫn bị tạm dừng trong khi cuộc điều tra tiếp tục.
Bài viết này chỉ nhằm mục đích cung cấp thông tin và không cấu thành lời khuyên đầu tư.
