The cross-chain protocol Gravity Bridge has been hit by a $5.4 million attack. Here are the details.

**پل جاذبه (Gravity Bridge) که یک پروتکل زنجیره‌ای متقابل مبتنی بر کازموس (Cosmos) است، در آخر هفته مورد حمله کلید مصالحه‌ای قرار گرفت که منجر به سرقت حدود ۵.۴ میلیون دلار شد. این آخرین نقض امنیتی به فهرست رو به رشد سوءاستفاده‌ها در حوزه امور مالی غیرمتمرکز (DeFi) تا کنون در سال ۲۰۲۶ افزوده می‌شود.**

**حمله به پل جاذبه مرتبط با مصالحه کلید امضا: محقق**

در روز شنبه، ۳۱ مه، محقق بلاک‌چین، اسپکتر (Specter)، اشاره کرد که ممکن است از پل جاذبه از طریق چیزی که او آن را مصالحه کلید امضا نامید، سوءاستفاده شده باشد. به زبان ساده، مصالحه کلید امضا زمانی رخ می‌دهد که یک کلید رمزنگاری به طور غیرمجاز دزدیده یا افشا شود. این امر به مهاجم اجازه می‌دهد تا اطلاعات حساس را رمزگشایی کند، امضاهای دیجیتال را جعل کند، یا به سیستم‌ها و در این مورد به وجوه، دسترسی غیرمجاز پیدا کند.

مطالعه مرتبط: قیمت AAVE ۲۶٪ سقوط کرد: ۹ میلیارد دلار خروجی خالص مرتبط با هک Kelp DAO

این تحلیلگر فاش کرد که دارایی‌های سرقت شده شامل حدود ۵.۴ میلیون دلار ارز دیجیتال، از جمله ۴.۳ میلیون دلار USDC، ۲۷۴ اتر بسته‌بندی شده به ارزش تقریبی ۵۵۳,۰۰۰ دلار، ۴۳۴,۰۰۰ دلار USDT، و ۱۴.۱۶ توکن PAXG به ارزش حدود ۶۴,۰۰۰ دلار بوده است. به گفته شرکت امنیتی PeckShield، مهاجم قبلاً بخشی از وجوه سرقت شده را از طریق صرافی‌های ChangeNOW و بایننس (Binance) پولشویی کرده است، اما همچنان بیش از ۲,۱۰۰ اتر (به ارزش حدود ۴.۲۳ میلیون دلار) در اختیار دارد.

تیم پل جاذبه روز شنبه حمله را تأیید کرد و به اعتبارسنج‌ها و هماهنگ‌کنندگان توصیه کرد در حالی که در حال بررسی این سوءاستفاده هستند، عملیات خود را متوقف کنند. این پروتکل در یک پست بعدی در شبکه‌های اجتماعی گفت: «به لطف پاسخ سریع اعتبارسنج‌ها، پل در حال حاضر در حالی که تحقیقات ادامه دارد، متوقف شده است.»

پل جاذبه یک پروتکل زنجیره‌ای متقابل است که با قفل کردن توکن‌ها در شبکه اتریوم و ایجاد کپی‌های مستقیم از آن دارایی‌ها در شبکه کازموس کار می‌کند. این پروتکل برای تأیید هر انتقال به امضای اعتبارسنج‌ها متکی است. این بدان معناست که اگر مهاجم کلیدهای امضای مناسب را به دست آورد، پروتکل حتی تراکنش‌های جعلی را نیز معتبر تلقی می‌کند.

اگر به عنوان یک مصالحه کلیدی تأیید شود، این حادثه پل جاذبه با الگویی مطابقت دارد که در بسیاری از حملات به پل‌های ارز دیجیتال دیده می‌شود، جایی که نقض‌ها معمولاً شامل کنترل‌های دسترسی هستند تا نقص در خود کد قرارداد هوشمند. این الگو در اکثر سوءاستفاده‌های اخیر مشهود است که حمله ۲۹۲ میلیون دلاری Kelp DAO نمونه بارز آن است.

**هک‌های ارز دیجیتال در سال ۲۰۲۶ همچنان در حال افزایش است**

همانطور که قبلاً اشاره شد، هک ۵.۴ میلیون دلاری پل جاذبه به فهرست رو به رشد حملاتی که صنعت ارز دیجیتال، به ویژه بخش DeFi را در سال ۲۰۲۶ لرزانده است، افزوده می‌شود. پل‌ها، به طور خاص، در این دوره هدف رایجی برای مهاجمان بوده‌اند. به عنوان مثال، یک گزارش TRM Labs آوریل ۲۰۲۶ را به عنوان هک‌شده‌ترین ماه در تاریخ ارز دیجیتال، با بالاترین تعداد حوادث، شناسایی کرد. این حملات شامل هک ۲۹۲ میلیون دلاری Kelp DAO و ضرر ۲۸۵ میلیون دلاری Drift Protocol بود.

مطالعه مرتبط: آیا تأیید حساب اصلی فدرال رزرو توسط ریپل می‌تواند یک رالی جدید XRP را آغاز کند؟ مدل هوش مصنوعی قیمت ۸۰ دلار را محتمل می‌داند

تصویر شاخص از Shutterstock، نمودار از TradingView

**سوالات متداول**

در اینجا لیستی از سوالات متداول در مورد حمله ۵.۴ میلیون دلاری پل جاذبه به زبانی طبیعی و واضح آورده شده است.

**سوالات سطح مبتدی**

۱. پل جاذبه دقیقاً چیست؟
پل جاذبه ابزاری است که به شما امکان می‌دهد دارایی‌های دیجیتال را بین بلاک‌چین‌های مختلف، به طور خاص بین شبکه اتریوم و اکوسیستم کازموس جابجا کنید. آن را به عنوان یک تونل امن تصور کنید که دو شهر جداگانه را به هم متصل می‌کند.

۲. در این حمله چه اتفاقی افتاد؟
یک مهاجم یک باگ در کد پل جاذبه پیدا کرد و از آن برای سرقت حدود ۵.۴ میلیون دلار از توکن‌های مختلف ارز دیجیتال که توسط پل نگهداری می‌شدند، سوءاستفاده کرد.

۳. آیا مهاجم از کاربران عادی مثل من پول دزدید؟
خیر. مهاجم توکن‌هایی را که در قرارداد هوشمند پل پارک شده بودند، دزدید. اگر شما توکن‌هایی در پل داشتید که منتظر جابجایی بودند، آن‌ها گرفته شدند. با این حال، اگر شما فقط به طور عادی از پل برای انتقال وجوه استفاده می‌کردید، کیف پول شخصی شما مستقیماً هک نشد.

۴. اگر قبلاً از پل جاذبه استفاده کرده‌ام، پول من امن است؟
اگر توکن‌های خود را از طریق پل جابجا کرده و سپس قبل از حمله آن‌ها را به کیف پول خود برداشت کرده‌اید، وجوه شما امن است. مشکل فقط مربوط به وجوهی بود که در زمان سوءاستفاده همچنان در داخل قرارداد پل قفل شده بودند.

۵. آیا حمله رفع شد؟
بله. تیم پل جاذبه بلافاصله پس از کشف حمله، پل را متوقف کرد. سپس آنها یک رفع‌باعی را برای جلوگیری از استفاده مجدد از همان باگ منتشر کردند. پل اکنون دوباره آنلاین است و به طور عادی کار می‌کند.

**سوالات سطح پیشرفته**

۶. مهاجم دقیقاً چگونه از پل سوءاستفاده کرد؟
مهاجم از یک حمله بازورودی (reentrancy attack) استفاده کرد. این یک باگ کلاسیک قرارداد هوشمند است. اساساً، کد پل به مهاجم اجازه می‌داد تابعی را فراخوانی کند که برای او توکن می‌فرستاد، اما قبل از اینکه پل به‌روزرسانی سوابق خود را تمام کند، قرارداد مهاجم دوباره همان تابع را فراخوانی کرد و پل را فریب داد تا توکن‌ها را چندین بار ارسال کند.

۷. کدام توکن‌ها دزدیده شدند؟
مهاجم ترکیبی از توکن‌ها، عمدتاً اتر بسته‌بندی شده و یواسدی کوین (USD Coin) را دزدید. ارزش کل در زمان حمله تقریباً ۵.۴ میلیون دلار بود.

۸. آیا تیم پل جاذبه سعی در بازیابی وجوه کرد؟
بله. تیم به سرعت از طریق یک پیام درون‌زنجیره‌ای با مهاجم تماس گرفت و یک پاداش ۵۰۰,۰۰۰ دلاری کلاه سفید (white hat) ارائه داد.