Ethereum ile Cosmos ekosistemi arasında varlık taşıyan çapraz zincir bir protokol olan Gravity Bridge, zincir üstü analist Specter'ın ilk olarak olağandışı çıkışları işaretlemesinin ardından cumartesi sabahı erken saatlerde yaklaşık 5,4 milyon dolarını kaybetti. Güvenlik firması PeckShield bu okumayı doğruladı; köprünün imzalama anahtarlarının ele geçirilmiş göründüğünü, bunun da saldırganın sistemin meşru kabul ettiği yetkisiz çekimleri geçmesine olanak tanıdığını söyledi.
Çalınan fonlar PeckShield'a göre yaklaşık 4,3 milyon dolarlık USDC, yaklaşık 553 bin dolar değerinde 274 wrapped ether, 434 bin dolarlık tether ve yaklaşık 64 bin dolar değerinde 14,16 PAXG tokeninden oluşuyor. Varlıklar 7C62da1F9 ile biten bir adrese yönlendirildi; sömürülen kontrat Specter tarafından 1F2D906 ile biten bir adres olarak tanımlandı. Gravity Bridge ekibi olayı X üzerinden doğruladı ve soruşturma sürerken doğrulayıcılara düğümlerini ve orkestratörlerini durdurmalarını söyledi. Köprü şu anda askıya alınmış durumda.
Neden önemli
Anahtar ele geçirme okuması tutarsa, bu olay 2026'nın başlarında yaşanan Kelp DAO (292 milyon dolar) ve Resolv (25 milyon dolar) istismarlarıyla aynı kategoriye giriyor — denetlenen kontrat mantiği zayıf nokta değildi. Köprüler, bir zincirde tokenları kilitleyerek diğerinde yansıtılmış kopyalar basarak çalışır; doğrulayıcı imzaları her transferi yetkilendirir. Bir saldırgan yeterli sayıda imzalama anahtarını ele geçirirse, sistem sahte çekimleri meşru olarak kabul eder. Bu mekanizma, araştırmacıların ihlalin kodda değil yetkilendirme katmanında olduğuna dair erken çerçevelendirmesiyle tutarlı.
Asıl yapısal endişe şu: anahtar yönetimi kod sorunu değil, insan ve operasyon sorunudur — ve denetimlerde görünmez. Nisan ayı zaten tüm zamanların en çok hacklenen ayıydı; TRM Labs, 2026'nın kripto hırsızlık kayıplarının yaklaşık yüzde 76'sını Kuzey Kore bağlantılı aktörlerin üstlendiğini takip ediyor. Köprüler, 2022'deki Nomad'ın 190 milyon dolarlık istismarı ve 2024'teki Orbit Chain'in 81,5 milyon dolarlık hackinden bu yana kriptoda en kârlı hedeflerden biri oldu. Gravity Bridge henüz bir postmortem yayımlamadı, bu da tam giriş noktasının doğrulanmamış kalmasına yol açıyor.
SSS
Gravity Bridge'ın akıllı kontrat kodu zayıf nokta değilse nasıl sömürüldü?
Specter ve PeckShield dahil araştırmacılar, köprünün imzalama anahtarlarının ele geçirildiğine ve bunun saldırganın sistemin meşru kabul ettiği yetkisiz çekimleri geçmesine izin verdiğine inanıyor. Köprü doğrulayıcıları her transferi imzayla yetkilendirir; yeterli anahtar sızarsa sahte çekimler gerçekmiş gibi görünür.
Gravity Bridge istismarında ne çalındı?
PeckShield, yaklaşık 4,3 milyon dolarlık USDC, yaklaşık 553 bin dolar değerinde 274 wrapped ether, 434 bin dolarlık tether ve yaklaşık 64 bin dolar değerinde 14,16 PAXG tokenini — toplamda yaklaşık 5,4 milyon dolar — saydı. Fonlar 7C62da1F9 ile biten bir adrese yönlendirildi.
Gravity Bridge ekibi istismardan sonra ne yaptı?
Ekip olayı X üzerinden doğruladı ve saldırı soruşturulurken doğrulayıcılara düğümlerini ve orkestratörlerini durdurmaları talimatını verdi. Köprü şu anda askıya alınmış durumda; henüz bir postmortem yayımlanmadı ve tam giriş noktası doğrulanmadı.
Gravity Bridge hacki diğer 2026 köprü istismarlarıyla nasıl karşılaştırılır?
5,4 milyon dolarla, yılın başındaki Kelp DAO'nun 292 milyon dolarlık kaybının yanında mütevazı kalıyor, ancak kök neden örüntüsü aynı: iki olayda da denetlenen kontrat kodu zayıf nokta değildi. 2026'nın başlarındaki 25 milyon dolarlık Resolv istismarı da benzer bir yetkilendirme katmanı okuması izledi.
Köprüler kripto hackerleri için neden bu kadar sık hedef oluyor?
Köprüler bir zincirde büyük varlık havuzlarını kilitler ve diğerinde yansıtılmış kopyalarını basar; doğrulayıcı imzaları her transferi yetkilendirir — bu da onları yüksek değerli bal tuzakları haline getirir. Kategori, 2022'deki Nomad'ın 190 milyon dolarlık sömürüsü ve 2024'teki Orbit Chain'in 81,5 milyon dolarlık hackinden bu yana yoğun biçimde istismar edildi; anahtar yönetimi hataları…
Sıkça sorulan sorular
-
Akıllı kontrat kodu zayıf nokta değilse Gravity Bridge nasıl sömürüldü?
Specter ve PeckShield dahil araştırmacılar, köprünün imzalama anahtarlarının ele geçirildiğine ve bunun saldırganın sistemin meşru kabul ettiği yetkisiz çekimleri geçmesine izin verdiğine inanıyor. Köprü doğrulayıcıları her transferi imzayla yetkilendirir; yeterli anahtar sızarsa sahte çekimler gerçekmiş gibi görünür.
-
Gravity Bridge istismarında ne çalındı?
PeckShield yaklaşık 4,3 milyon dolarlık USDC, yaklaşık 553 bin dolar değerinde 274 wrapped ether, 434 bin dolarlık tether ve yaklaşık 64 bin dolar değerinde 14,16 PAXG tokenini saydı — toplamda yaklaşık 5,4 milyon dolar. Fonlar 7C62da1F9 ile biten bir adrese yönlendirildi.
-
Gravity Bridge ekibi istismardan sonra ne yaptı?
Ekip olayı X üzerinden doğruladı ve saldırı soruşturulurken doğrulayıcılara düğümlerini ve orkestratörlerini durdurmaları talimatını verdi. Köprü şu anda durdurulmuş durumda; henüz bir postmortem yayımlanmadı ve tam giriş noktası doğrulanmadı.
-
Gravity Bridge hacki diğer 2026 köprü istismarlarıyla nasıl karşılaştırılır?
5,4 milyon dolarla bu olay, yılın başındaki Kelp DAO'nun 292 milyon dolarlık kaybının yanında mütevazı kalıyor, ancak kök neden örüntüsü aynı: iki olayda da denetlenen kontrat kodu zayıf nokta değildi. 2026'nın başlarındaki 25 milyon dolarlık Resolv istismarı da benzer bir yetkilendirme katmanı okuması izledi.
-
Köprüler kripto hackerleri için neden bu kadar sık hedef oluyor?
Köprüler bir zincirde büyük varlık havuzlarını kilitler ve diğerinde yansıtılmış kopyalarını basar; doğrulayıcı imzaları her transferi yetkilendirir — bu da onları yüksek değerli bal tuzakları haline getirir. Kategori, 2022'deki Nomad'ın 190 milyon dolarlık sömürüsü ve 2024'teki Orbit Chain'in 81,5 milyon dolarlık…
TheBlock