Gravity Bridge: 5,4 Millionen Dollar durch kompromittierten Signaturschlüssel gestohlen

Die Aufschlüsselung der erbeuteten Vermögenswerte zeichnet ein klares Bild des Diebstahls:

• ~4,3 Millionen US-Dollar in USDC
• 274 ETH (≈553.000 US-Dollar)
• 434.000 US-Dollar in USDT
• PAYG-Token im Wert von ~64.000 US-Dollar

Eine offizielle Stellungnahme der Betreiber von Gravity Bridge steht bislang noch aus .

Spur der Geldwäsche: ChangeNOW, Binance und ein geparkter Schatz

Statt die gesamte Beute sofort zu Geld zu machen, ging der Angreifer gestaffelt vor. PeckShield verfolgte einen Teil der gestohlenen Gelder über ChangeNOW, einen nicht-verwahrenden Swap-Dienst, und Binance, die weltgrößte zentralisierte Krypto-Börse .

Das bemerkenswerteste Detail für die digitalen Spürnasen ist jedoch das, was der Hacker nicht bewegt hat: Nach den letzten Überwachungs-Updates hält die Wallet des Angreifers noch 2.102 ETH im Wert von rund 4,23 Millionen Dollar . Das deutet darauf hin, dass er die erbeuteten Stablecoins und Token in ETH umgetauscht, aber vor dem endgültigen Auscashen gestoppt hat – möglicherweise aus Angst, weitere Börseneinfrierungen oder das Interesse von Strafverfolgungsbehörden zu provozieren.

Der verbliebene Bestand des Angreifers stellt eine lebendige On-Chain-Spur dar. Sicherheitsforscher und Blockchain-Analysefirmen beobachten die Wallet weiterhin; jede künftige Bewegung wird mit hoher Wahrscheinlichkeit Alarm bei den großen Compliance-Plattformen auslösen .

Was die Gravity Bridge ist – und warum sie wichtig ist

Die Gravity Bridge ist eine dezentrale, vertrauenslose Blockchain, die geschaffen wurde, um das Ethereum- und das Cosmos-Ökosystem über das sogenannte Inter-Blockchain Communication (IBC)-Protokoll zu verbinden. Nutzer können ERC-20-Assets wie USDC, DAI und WETH ohne zentralen Verwahrer ins Cosmos-Universum und wieder zurück transferieren .

Bis Mitte 2026 hatte die Gravity Bridge ein kumuliertes Transfervolumen von über 50 Milliarden Dollar angesammelt und arbeitete mit einem Netzwerk von über 100 Validatoren zur Transaktionsfinalisierung . Das Design zielte auf Neutralität und genehmigungsfreien Zugang ab, die Governance war auf viele Akteure verteilt. Vor dem Exploit am 30. Mai lag der Total Value Locked (TVL) – also der in der Brücke hinterlegte Gesamtwert – laut On-Chain-Daten bei etwa 11,5 Millionen Dollar .

Der Vorfall legt eine grundlegende Design-Spannung offen: Die Gravity Bridge ist auf Governance- und Validatorenebene dezentralisiert, doch die Nutzung privilegierter Signierschlüssel für Auszahlungen auf der Ethereum-Seite führte einen konzentrierten Vertrauenspunkt ein. Als genau dieser Schlüssel mutmaßlich kompromittiert wurde, konnte der Angreifer Gelder abziehen, ohne das breitere Sicherheitsmodell der Brücke knacken zu müssen .

Ein brutaler Monat für Cross-Chain-Bridges

Der Exploit der Gravity Bridge war kein Einzelfall. Schon Mitte Mai 2026 hatte PeckShield acht große Cross-Chain-Bridge-Hacks mit einer Gesamtschadenssumme von 328,6 Millionen Dollar im Jahr 2026 verzeichnet . Die unrühmliche Liste umfasst:

Die Gravity Bridge ist der neunte prominente Eintrag in dieser düsteren Bilanz und treibt den Gesamtschaden für 2026 noch vor Juni über die Marke von 330 Millionen Dollar. Die Häufigkeit und das Ausmaß dieser Vorfälle haben die Sicherheit von Blockchain-Brücken zu einem der dringendsten Probleme der gesamten Branche gemacht .

Zentralisiertes Schlüsselmanagement: Die ewige Achillesferse

Wenn sich ein roter Faden durch diese Exploits zieht, dann ist es nicht zwingend die Code-Qualität, sondern die Architektur des Schlüsselmanagements.

Der Kelp/LayerZero-Vorfall im April allein machte 292 Millionen Dollar aus und warf, ähnlich wie beim Gravity-Bridge-Ereignis, Fragen zu den Autorisierungsmechanismen auf – nicht zu rein technischen Bugs. Wenn die Sicherheit einer Brücke auf einem kleinen Satz an Signierschlüsseln basiert – selbst wenn diese von angesehenen Parteien gehalten werden –, kann jeder einzelne kompromittierte Schlüssel zum Generalschlüssel für einen Angreifer werden .

Der Gravity-Bridge-Exploit untermauert ein Argument, das Sicherheitsforscher seit Jahren vorbringen: Dezentrale Konsensbildung auf einer Ebene des Stacks kompensiert kein zentralisiertes Schlüsselmanagement auf einer anderen. Multi-Party-Computation (MPC)-Wallets, Threshold-Signature-Schemes und Hardware Security Modules (HSMs) wurden alle als Gegenmaßnahmen vorgeschlagen, doch die Umsetzung bleibt im Brücken-Ökosystem lückenhaft.

Der Vorfall beleuchtet auch eine pragmatische Realität für Ermittler: Weil der Angreifer die gestohlenen Stablecoins in ETH tauschte und den Großteil in einer nachverfolgbaren Wallet ließ, wird der Fall zu einem lebendigen Anschauungsbeispiel für Asset Recovery und juristische Verfolgung. Ob das zur Rückführung der Gelder führt oder einfach nur eine weitere Adresse auf eine endlose On-Chain-Schwarze Liste setzt, bleibt abzuwarten.