Una dintre punțile care leagă rețeaua Ethereum de ecosistemul Cosmos a rămas, peste noapte, cu rezervele înjumătățite. În noaptea de 30 mai 2026, Gravity Bridge a pierdut aproximativ 5,4 milioane de dolari, după ce un atacator a pus mâna pe o cheie de semnătură a contractului și a folosit-o ca să golească tot ce găsea la îndemână.
Episodul a durat aproape o oră, între 02:30 și 03:30 UTC. Nu a fost vorba de un cod scris greșit și nici de vreo schemă complicată cu împrumuturi instant. A fost ceva mult mai simplu și, tocmai din acest motiv, mai tulburător. O cheie ajunsă unde nu trebuia și un model de securitate care se prăbușește în clipa în care acea cheie părăsește mâinile potrivite.
Cronologia unei nopți scurte
Primul care a observat că ceva nu e în regulă a fost un analist on-chain care semnează cu pseudonimul Specter. El a remarcat tranzacții ciudate plecând din contractul aflat pe partea de Ethereum a punții și a făcut publice două adrese ale atacatorului. Imediat după aceea, firma de securitate blockchain PeckShield a confirmat dimensiunea pierderii și a oferit o defalcare clară a activelor sustrase.
Cea mai mare felie a fost reprezentată de stablecoinuri. Atacatorul a luat în jur de 4,3 milioane de dolari în USDC, moneda emisă de Circle, la care s-au adăugat 434.000 de dolari în USDT. Restul a venit din 274 de ETH, aproximativ 553.000 de dolari la cursul de atunci, și dintr-un lot mai exotic de 14.164 de tokenuri PAYG garantate cu aur, evaluate la circa 64.000 de dolari. Compoziția trădează un hoț care nu a ales cu grijă, ci a măturat pur și simplu ce administra contractul în acel moment.
O a doua firmă de monitorizare, Cyvers, a confirmat independent atât suma, cât și structura. Sistemele sale au prins mai multe tranzacții suspecte legate de punte și au observat un amănunt important. Stablecoinurile au fost preschimbate aproape pe loc în ETH nativ, gestul tipic al cuiva care vrea să scape de tokenuri ce pot fi înghețate de emitenți și să rămână cu un activ mult mai greu de blocat.
Reconstituirea pas cu pas a acestei nopți a fost realizată de Cryptology.ro, publicația de știri și analize despre criptomonede în limba română, care a urmărit traseul fondurilor de la prima tranzacție suspectă până la portofelul în care a ajuns grosul prăzii.
Viteza spune mult. O parte din bani a fost trimisă rapid prin serviciul de schimb necustodial ChangeNow și prin Binance, cea mai mare bursă de criptomonede din lume după volum.
Rutarea aproape instantanee spre servicii care fragmentează urma trădează o operațiune pregătită din timp, nu o improvizație de moment. Și totuși, partea cea mai grasă a rămas pe loc.
La momentul raportării, în portofelul atacatorului zăceau în jur de 2.102 ETH, aproximativ 4,23 milioane de dolari, vizibili pentru oricine pe lanțul Ethereum.
De ce o singură cheie poate goli o întreagă punte?
Gravity Bridge funcționează după un principiu simplu. Pe partea de Ethereum, contractul ține captive tokenurile reale. În același timp, pe partea de Cosmos, sistemul emite copii ale lor. Blochezi o sută de USDC pe Ethereum și primești o sută de USDC oglindiți, pe care îi poți folosi în Cosmos. Când vrei să faci drumul invers, copiile se distrug, iar tokenurile reale se eliberează.
Toată circulația aceasta stă în picioare datorită validatorilor care semnează fiecare trecere dintr-o parte în alta. Semnătura lor este actul care îi spune contractului că o tranzacție este legitimă și că banii pot pleca. Întreaga construcție se reazemă, prin urmare, pe o singură presupunere, anume că cheile cu care se semnează rămân secrete.
Exact acea presupunere a cedat pe 30 mai. Atacatorul a obținut o cheie de semnătură, ceea ce, pe înțelesul tuturor, înseamnă a fura cheia stăpânului, nu a forța o broască. Odată ce o ai, nu mai există niciun contract de păcălit. Hoțul a prezentat o autorizație validă, semnată corect, identică cu cea pe care puntea o acceptă zilnic de la utilizatorii cinstiți. Iar contractul a făcut fix ce fusese proiectat să facă. A eliberat activele.
Aceeași logică a stat și în spatele altor lovituri recente, cum a fost exploitul prin modulul SquidRouter, unde un singur punct de autorizare a deschis ușa.
O cheie furată nu se peticește precum un bug
Aici se află miezul problemei. O eroare din cod poate fi corectată. Programatorul scrie o actualizare, intervine printr-un mecanism de guvernanță, oprește contractul câteva ore cât repară partea defectă, iar sistemul rămâne, în fond, de încredere, fiindcă greșeala era izolată.
Cu o cheie compromisă nu există nimic de peticit. Nimeni nu a greșit la scrierea codului. Sistemul nu poate face diferența între o retragere autentică și una falsificată, fiindcă ambele poartă o semnătură perfect validă. Ca să iasă din impas, echipa trebuie să revoce și să rotească cheile, să verifice ce altceva ar mai fi putut fi expus și, mai ales, să reconstruiască încrederea într-un sistem a cărui proprietate de securitate cea mai de bază tocmai s-a dovedit fragilă.
Punțile, cele mai vânate ținte din DeFi
Atacul nu este nici pe departe o premieră. Punțile cross-chain au devenit cea mai constant exploatată structură din tot spațiul cripto, iar motivul ține de natura lor. O punte nu este, în esență, decât o grămadă de garanții ținute laolaltă de chei criptografice și de o bucată de cod, cu adresa afișată public pe lanț. Ea anunță, în văzul tuturor, cât deține și pe ce ușă se intră la ea, ca o casă de bani cu pereți de sticlă.
Mai este și problema valorii adunate într-un singur loc. O punte trebuie să țină captive sumele tuturor utilizatorilor care vor să mute active dintr-un lanț în altul, așa că rezerva ei crește pe măsură ce protocolul prinde popularitate. Cu cât adună mai mult, cu atât recompensa unui atac reușit ajunge să justifice luni de pregătire și de pândă. Spre deosebire de un portofel personal, o punte nu se poate ascunde. Trebuie să rămână mereu accesibilă, ceea ce o transformă într-o vitrină pe care infractorii o studiază în liniște.
Istoria recentă confirmă tiparul. Atacul asupra punții Ronin, în 2022, a dus la pierderea a peste 600 de milioane de dolari, tot printr-o compromitere a cheilor de validare. Poly Network pierduse o sumă comparabilă cu un an mai devreme, iar Wormhole și Nomad au întregit un capitol întunecat. Se schimbă numele punților, nu și metoda.
La fel s-a întâmplat și în primăvara lui 2026, când un atac de 10 milioane asupra THORChain a declanșat un răspuns de urgență la nivelul întregii rețele.
Mihai Popa, analistul și jurnalistul care semnează materialul de pe Cryptology.ro, observă că între ceea ce industria știe că ar trebui făcut și ceea ce face efectiv rămâne o prăpastie pe care atacatorii o trec cu o regularitate care a încetat demult să mai surprindă pe cineva.
Remediile sunt cunoscute de ani buni, cel puțin teoretic. Se vorbește despre seturi descentralizate de validatori, despre scheme de semnături cu prag care cer mai mulți semnatari pentru fiecare mișcare și despre rețele de gardieni mai numeroase. Și totuși, punțile continuă să se lanseze cu autoritatea de semnare strânsă în mâini puține.
Ce se mai poate face cu banii?
Modul în care a fost spălată prada trădează calculele atacatorului. Partea trecută prin ChangeNow și Binance este, foarte probabil, greu sau imposibil de recuperat, fiindcă, odată topită în milioane de alte tranzacții, urma dispare. Restul spune însă altă poveste. Cei aproximativ 2.102 ETH stau nemișcați într-un portofel cunoscut.
Inactivitatea poate avea mai multe explicații. S-ar putea ca hoțul să fie prudent și să aștepte momentul potrivit pentru o nouă rundă de spălare. La fel de bine, ar putea fi vorba de începutul unei negocieri, scenariu pe care industria l-a mai văzut.
Sumele mari care zac la o adresă cunoscută creează o dinamică aparte. Bursele centralizate îi pot marca adresa și emitenții de stablecoinuri îi pot îngheța fondurile în câteva minute, în timp ce analiștii on-chain îi urmăresc fiecare ieșire. Vizibilitatea aceasta nu garantează recuperarea, dar o ține în viață.
Precedentele lasă o rază de speranță, fără să ofere certitudini. Într-un caz recent, atacatorul de la puntea Verus a returnat 8,5 milioane de dolari și a păstrat 2,8 milioane în baza unui acord de recuperare. Astfel de înțelegeri, în care hoțul restituie cea mai mare parte a prăzii în schimbul unei recompense și al promisiunii că nu va fi urmărit, au devenit o soluție amară, dar pragmatică, pentru protocoalele lovite. În alte cazuri, banii ajung în portofelele dezvoltatorilor chiar fără voia lor, așa cum s-a întâmplat când un virus a furat chei direct de pe calculatoarele programatorilor.
Un an dur pentru infrastructura cross-chain
Echipa din spatele Gravity Bridge a recunoscut public incidentul și a oprit puntea cât timp investighează. Validatorilor li s-a cerut să își oprească nodurile, o măsură de urgență gândită să prevină scurgeri suplimentare. Înainte de atac, puntea ținea blocată o valoare totală de aproximativ 11,5 milioane de dolari, așa că furtul de 5,4 milioane a înghițit aproape jumătate din tot ce administra protocolul.
Cazul se adaugă unui șir care a făcut din 2026 unul dintre cei mai duri ani pentru punți. Datele PeckShield arătau că, până pe la mijlocul lui mai, fuseseră înregistrate cel puțin opt atacuri majore asupra punților, cu pierderi de circa 328,6 milioane de dolari. Cu doar douăsprezece zile mai devreme, puntea Verus-Ethereum pierduse 11,5 milioane de dolari, iar în aprilie protocolul Drift suferise pierderi de peste 200 de milioane. Tabloul s-a întregit cu lovituri mai mici, dar la fel de simptomatice, printre care un exploit pe care aproape oricine îl putea executa.
Aici stă, poate, cea mai grea lecție. Atacurile nu devin mai sofisticate. Țintele rămân, pur și simplu, la fel de ușor de lovit. Cât timp punțile vor fi construite în jurul unei autorități de semnare concentrate și al cheilor de administrator, ele vor continua să fie cele mai prădate structuri din cripto, nu fiindcă atacatorii ar fi geniali, ci fiindcă ușa rămâne descuiată, an după an, în același loc.
Sursa originală a relatării, cu datele complete despre activele furate și traseul fondurilor, este disponibilă pe Cryptology.ro, în articolul Gravity Bridge, golit de 5,4 milioane de dolari după furtul unei chei de semnătură.
