Aller au contenu
Fondé MMXXVIVol. VI · № 282RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 279Exploit de pont

Compromission des clés de signature de Gravity Bridge

Gravity Bridge, le pont cross-chain Cosmos-Ethereum, a été vidé d'environ 5,4 millions de dollars après la compromission apparente des clés de signature de ses validateurs.

Date
Victime
Gravity Bridge
Chaîne(s)
EthereumCosmos
Statut
Fonds dérobés

Le 30 mai 2026, Gravity Bridge, le pont cross-chain basé sur Cosmos reliant Cosmos à Ethereum, a été vidé d'environ 5,4 millions de dollars après que des attaquants ont apparemment compromis les clés de signature des validateurs qui autorisent les transferts. Avec suffisamment de signatures valides en main, l'attaquant a fait passer une série de retraits forgés que le pont a traités comme légitimes.

Ce qui s'est passé

Gravity Bridge verrouille des tokens sur Ethereum et émet des représentations miroir sur Cosmos, les signatures des validateurs autorisant chaque transfert cross-chain. Selon des chercheurs en sécurité tels que PeckShield, les clés de signature du pont ont apparemment été compromises, permettant à l'attaquant d'autoriser directement des retraits. Les fonds dérobés ont été rapportés comme environ 4,3 millions d'USDC, 274 wrapped ether (~553 000 USD), environ 434 000 USDT et 14,16 PAXG (~64 000 USD). L'attaquant a commencé à blanchir une partie via ChangeNow et Binance tout en conservant un solde important en ETH.

Conséquences

Gravity Bridge a reconnu l'incident et a suspendu le pont le temps de l'enquête. Au moment de la publication, les fonds n'avaient pas été récupérés, des chercheurs suivant les portefeuilles de l'attaquant on-chain.

Pourquoi c'est important

Le vidage de Gravity Bridge est une nouvelle illustration du thème dominant de 2026 : les ponts et la garde par les ensembles de validateurs sont la surface d'attaque la plus précieuse de la crypto. Comme pour ioTube d'IoTeX et le pont Verus-Ethereum, la faille n'était pas un astucieux bug de contrat mais la garde des clés — dès qu'un attaquant contrôle assez de clés de signature, la logique de vérification des signatures d'un pont valide fidèlement des retraits frauduleux. Cela confirme la leçon des compromissions de clés de validateur et d'administrateur du catalogue (Wasabi Protocol, Hyperbridge) : l'infrastructure cross-chain n'est jamais plus sûre que les clés derrière son multisig, et les seuils de signature offrent peu de protection une fois les signataires eux-mêmes compromis.

Sources & preuves on-chain

  1. [01]theblock.cohttps://www.theblock.co/post/403108/cosmos-based-gravity-bridge-drained-of-5-4-million-in-suspected-key-compromise-researchers-say
  2. [02]beincrypto.comhttps://beincrypto.com/gravity-bridge-hack-key-compromise-5m/
  3. [03]cryptotimes.iohttps://www.cryptotimes.io/2026/05/30/gravity-bridge-hit-in-5-4m-exploit-amid-suspected-key-compromise/

Dépôts liés