Gravity Bridge a perdu 5,4 millions de dollars le 30 mai 2026 dans ce qui s’apparente à une compromission de clé de signature, selon PeckShield. L’attaquant a vidé le contrat côté Ethereum en moins d’une heure, repartant avec 4,3 M$ en USDC, 553 000 $ en ETH, 434 000 $ en USDT et 64 000 $ en tokens PAYG. Une partie des fonds a déjà transité par ChangeNow et Binance pour en brouiller la trace.
Quelle est la mécanique du hack ?
Les enquêteurs on-chain, dont l’analyste Specter qui a signalé l’incident en premier, pointent un accès privilégié au contrat Ethereum vérifié du bridge. Les retraits semblaient autorisés en surface, signe que l’exploit n’exploite pas une faille de code dans le smart contract lui-même. C’est la clé de signature qui contrôlait les droits de retrait qui aurait été compromise.
Ce vecteur rappelle une série de précédents bien documentés. La compromission d’une clé de validation représente un point de défaillance unique, indépendant de la qualité de l’audit du contrat. Le bridge Ronin, vidé de 625 M$ en mars 2022, avait suivi le même schéma : des clés de validateurs hameçonnées, pas un bug dans le code. L’incident Gravity Bridge s’inscrit dans cette tendance, comme en témoignent les attaques de bridges cross-chain qui se multiplient depuis 2022.
Comment les fonds ont-ils été blanchis ?
L’attaquant a d’abord échangé la majorité des stablecoins (USDC et USDT) contre de l’ETH. Résultat : il détient désormais 2 102 ETH, soit environ 4,23 M$ au moment des faits. Une partie de ces ETH a été acheminée vers ChangeNow, plateforme d’échange non-custodiale, puis vers Binance.
Ce choix n’est pas anodin. Les émetteurs de stablecoins comme Circle (USDC) et Tether (USDT) peuvent inscrire une adresse sur liste noire en quelques minutes, ce qui aurait gelé les fonds. En convertissant rapidement vers de l’ETH natif, l’attaquant s’est affranchi de ce risque. Le solde restant de 2 102 ETH est traçable sur Etherscan, mais peut encore être fractionné ou transféré via d’autres bridges. Cette approche ressemble à ce qu’avaient fait les auteurs du hack BitMart, qui avaient dérobé 200 M$ en shitcoins en 2021 avant de passer par un mixer.
PeckShield indique par ailleurs avoir recensé 8 grands hacks de bridges pour un total de 328,6 M$ sur le seul mois de mai 2026. Gravity Bridge s’y ajoute comme le dernier épisode d’une série alarmante.
Pourquoi Gravity Bridge était-il vulnérable ?
Gravity Bridge relie Ethereum à l’écosystème Cosmos via le protocole IBC (Inter-Blockchain Communication). Il permet à des actifs comme l’USDC de circuler entre blockchains. Avant le hack, la TVL (valeur totale verrouillée) s’établissait à environ 11,5 M$, ce qui en faisait un bridge de taille modeste mais actif.
La concentration des droits d’accès dans une ou quelques clés de signature constitue le talon d’Achille structurel de ce type de protocole. Sans mécanisme de multisig robuste ou de délai de retrait (timelock), une clé compromise suffit à vider le contrat. Le secteur a pourtant accumulé les leçons en la matière. Dès 2021, des projets comme Levyathan avaient illustré comment une clé de déploiement exposée pouvait devenir une porte dérobée. Plus récemment, le bridge Verus a perdu 11,6 M$ selon un schéma similaire.
L’équipe Gravity Bridge n’a publié aucune réponse officielle à l’heure où ces lignes sont écrites. Le détail de l’incident reste à confirmer par un post-mortem officiel.
Mise en perspective Gravity Bridge illustre une faille systémique : les bridges IBC-Ethereum concentrent des droits de retrait dans des clés privées rarement protégées par des timelocks ou des multisig exigeants. Tant que cette architecture reste la norme, chaque bridge de taille intermédiaire constitue une cible rentable, hors de portée des mécanismes de gel des stablecoins dès conversion en ETH natif.
À retenir
Gravity Bridge a perdu 5,4 M$ le 30 mai via une clé de signature vraisemblablement compromise, sans faille de smart contract identifiée. L’attaquant contrôle encore 2 102 ETH (~4,2 M$). Surveiller la réponse officielle de l’équipe et un éventuel plan de remboursement, ainsi que l’évolution de la TVL DeFi sur Cosmos dans les prochains jours.
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash