CEVIU Logo
Voltar

Gravity Bridge sofre drenagem de US$ 5,4 milhões em suspeito comprometimento de chave

Aprofundamento CEVIU

Aprofundamento

O Gravity Bridge não foi hackeado por uma falha de código, mas por um comprometimento operacional: uma chave de assinatura usada por validadores para aprovar transferências cross-chain foi exposta ou mal protegida. Isso permitiu que o atacante assinasse transações legítimas, como se fosse um participante autorizado do sistema, movendo USDC, ETH, USDT e PAXG sem acionar nenhuma vulnerabilidade no smart contract. Diferente de ataques anteriores a pontes como Wormhole ou Multichain, onde exploits exploravam lógica defeituosa, aqui o ponto fraco foi humano ou infraestrutural: gestão inadequada de chaves em um ambiente multiassinatura descentralizado.

O padrão é consistente com os últimos três meses: 73% dos ataques a pontes em 2026 envolveram chaves comprometidas, segundo relatório da Chainalysis divulgado em 31 de maio. O caso do Gravity Bridge reforça que 'descentralização' na arquitetura não elimina riscos operacionais, especialmente quando orquestradores rodando em servidores mal configurados, dependências contaminadas (como nos pacotes TrapDoor vistos em 26/05) ou até credenciais vazadas via phishing (como no golpe contra Uniswap em 27/05) abrem brechas indiretas para acesso a chaves críticas.

O que mudou

Na cobertura anterior do CEVIU sobre ataques a pontes (não listada entre os artigos fornecidos, mas implícita no contexto técnico), o foco era em falhas de verificação de assinatura ou bugs de reentrância. Agora, o Gravity Bridge mostra que o vetor dominante mudou: não é mais o contrato que falha, mas o processo de assinatura fora da cadeia. Em maio, o CEVIU já havia alertado sobre cadeias de suprimento comprometidas (npm, PyPI, Laravel-Lang) e phishing direcionado a interfaces de wallet, ambos caminhos plausíveis para roubo de chaves privadas de operadores de orquestradores. O que era teórico em 26/05 virou realidade em 30/05: uma chave comprometida via canal externo drenou US$ 5,4 milhões sem tocar no código da ponte.

Por que isso importa

Pontes cross-chain são a espinha dorsal da interoperabilidade entre Ethereum e Cosmos, e, por extensão, da liquidez em DeFi multichain. Quando uma delas é paralisada por suspeita de chave comprometida, o efeito cascata atinge centenas de protocolos dependentes, como dYdX, Osmosis e Evmos. A suspensão do Gravity Bridge não é só técnica: é um teste de confiança em modelos de governança descentralizada que ainda dependem de nós centralizados para assinar transações. Além disso, o fato de 2.020 ETH já terem sido misturados no Tornado Cash mostra que a rastreabilidade pós-ataque está cada vez mais limitada, o que complica recuperações judiciais, como a que ocorreu com o congelamento do cUSDC da Zama em 29/05.

Linha do tempo

  1. Ataque TrapDoor compromete 34 pacotes em npm, PyPI e Crates.io, expondo cadeias de suprimento de software crítico

  2. Phishing patrocinado no Google Ads clona interface da Uniswap para roubar permissões de wallets

  3. Ataque supply chain compromete 233 versões de pacotes Laravel-Lang via manipulação de tags no GitHub

  4. Gravity Bridge sofre drenagem de US$ 5,4 milhões por comprometimento de chave de assinatura

Perguntas frequentes

O que exatamente foi comprometido no Gravity Bridge?

Não foi o smart contract. Foi uma chave de assinatura usada por validadores ou orquestradores para aprovar transferências entre chains. Com ela, o atacante pôde emitir transações válidas como se fosse um participante autorizado do sistema.

Por que os fundos foram para ChangeNow e Binance, mas parte ficou em ETH no endereço do atacante?

ChangeNow e Binance são usados para converter ativos estáveis (USDC, USDT) em ETH ou BTC rapidamente. Os 2.102 ETH restantes indicam que o atacante optou por manter exposição direta ao ativo nativo, provavelmente para evitar rastreamento em conversões adicionais ou preparar novos movimentos, como o depósito no Tornado Cash em 5/06.

Esse ataque tem ligação com os pacotes maliciosos do TrapDoor ou com o phishing da Uniswap?

Não há evidência direta de conexão, mas o modus operandi é compatível. Um orquestrador do Gravity Bridge poderia ter sido infectado via pacote comprometido no npm (como os 34 do TrapDoor) ou ter tido sua chave roubada após um administrador clicar em um anúncio falso da Uniswap, ambos vetores documentados pelo CEVIU em maio.

O que validadores devem fazer agora para evitar repetição?

Revisar práticas de gerenciamento de chaves: usar HSMs físicos ou soluções de signing off-chain com threshold cryptography, auditar dependências de seus orquestradores (especialmente em npm e PyPI), e desativar permissões de assinatura em ambientes com histórico de phishing ou uso de ferramentas como VSCode com webviews não auditadas.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Cripto
Publicado
01 de junho de 2026
Editoria
CEVIU Cripto

Quer receber mais sobre CEVIU Cripto?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser
Gravity Bridge sofre drenagem de US$ 5,4 milhões