Gravity Bridge, un protocole cross-chain qui transfère des actifs entre Ethereum et l'écosystème Cosmos, a été vidé d'environ 5,4 millions de dollars tôt samedi après que l'analyste onchain Specter a signalé pour la première fois des sorties inhabituelles. La société de sécurité PeckShield a corroboré cette lecture, indiquant que les clés de signature du bridge semblent avoir été compromises — ce qui a permis à l'attaquant de faire passer des retraits non autorisés que le système a traités comme légitimes.
Les fonds volés se décomposent en environ 4,3 millions de dollars en USDC, 274 ethers wrappés valant environ 553 000 $, 434 000 $ en tether, et 14,16 tokens PAXG d'une valeur d'environ 64 000 $, selon PeckShield. Les actifs ont été acheminés vers une adresse se terminant par 7C62da1F9, le contrat vidé étant identifié par Specter comme celui se terminant par 1F2D906. L'équipe de Gravity Bridge a confirmé l'incident sur X et a demandé aux validateurs d'arrêter leurs nœuds et orchestrators pendant l'enquête. Le bridge est actuellement à l'arrêt.
Pourquoi c'est important
Si l'hypothèse de la compromission de clés se confirme, cet exploit entre dans la même catégorie que ceux de Kelp DAO (292 M$) et de Resolv (25 M$) survenus plus tôt en 2026 — la logique du contrat audité n'était pas le point faible. Les bridges fonctionnent en verrouillant des tokens sur une chaîne et en émettant des versions miroirs sur une autre, les signatures des validateurs autorisant chaque transfert ; si un attaquant obtient suffisamment de clés de signature, le système traite les retraits falsifiés comme légitimes. Ce mécanisme est cohérent avec la première lecture des chercheurs selon laquelle la brèche se situe au niveau de la couche d'autorisation plutôt que dans le code.
Le problème structurel est que la gestion des clés relève de l'humain et des opérations, pas du code — et cela n'apparaît pas dans les audits. Avril était déjà le mois le plus hacké jamais enregistré, TRM Labs estimant que des acteurs liés à la Corée du Nord sont à l'origine d'environ 76 % des pertes crypto liées à des hacks en 2026. Les bridges figurent parmi les cibles les plus lucratives de la crypto depuis l'exploit de Nomad à 190 M$ en 2022 et le hack d'Orbit Chain à 81,5 M$ en 2024. Gravity Bridge n'a pas encore publié de postmortem, laissant le point d'entrée exact non confirmé.
Questions fréquemment posées
-
Comment Gravity Bridge a-t-il été vidé si le code du smart contract n'était pas le point faible ?
Les chercheurs, dont Specter et PeckShield, estiment que les clés de signature du bridge ont été compromises, ce qui a permis à l'attaquant de faire passer des retraits non autorisés que le système a traités comme légitimes. Les validateurs du bridge autorisent chaque transfert par signature ; si suffisamment de clés…
-
Qu'a-t-on volé dans l'exploit de Gravity Bridge ?
PeckShield a recensé environ 4,3 M$ en USDC, 274 ethers wrappés valant environ 553K $, 434K $ en tether, et 14,16 tokens PAXG d'une valeur d'environ 64K $ — pour un total d'environ 5,4 M$. Les fonds ont été acheminés vers une adresse se terminant par 7C62da1F9.
-
Que a fait l'équipe de Gravity Bridge après l'exploit ?
L'équipe a confirmé l'incident sur X et a demandé aux validateurs d'arrêter leurs nœuds et orchestrators pendant l'enquête sur l'attaque. Le bridge est actuellement en pause ; aucun postmortem n'a été publié et le point d'entrée exact reste non confirmé.
-
Comment le hack de Gravity Bridge se compare-t-il aux autres exploits de bridges de 2026 ?
À 5,4 M$, le montant est modeste face aux 292 M$ perdus par Kelp DAO plus tôt cette année, mais le schéma de cause racine est le même : le code audité n'était pas le point faible dans les deux cas. L'exploit de Resolv à 25 M$ plus tôt en 2026 suivait une lecture similaire au niveau de la couche d'autorisation.
-
Pourquoi les bridges sont-ils une cible si fréquente pour les hackers crypto ?
Les bridges verrouillent d'importantes réserves d'actifs sur une chaîne et émettent des versions miroirs sur une autre, les signatures des validateurs autorisant chaque transfert — ce qui en fait des pots de miel de grande valeur. La catégorie est lourdement exploitée depuis le drain de Nomad à 190 M$ en 2022 et le…