Gravity Bridge vaciado: un ataque de 5,4 millones de dólares expone el talón de Aquiles de los puentes entre cadenas

El desglose de activos pinta una imagen clara del robo:

• ~$4.3 millones en USDC
• 274 ETH (≈$553,000)
• $434,000 en USDT
• Tokens PAYG por un valor de ~$64,000

Hasta el momento, los funcionarios de Gravity Bridge no han emitido una respuesta formal al incidente .

El rastro del dinero: ChangeNOW, Binance y un botín retenido

En lugar de retirar todo el dinero de inmediato, el atacante adoptó un enfoque escalonado. PeckShield rastreó una parte de los fondos robados moviéndose a través de ChangeNOW, un servicio de intercambio no custodio, y Binance, el exchange centralizado más grande del mundo .

Sin embargo, el detalle más notable para los sabuesos en cadena es lo que el hacker no movió. Según las últimas actualizaciones de monitoreo, la billetera del atacante aún contenía 2,102 ETH, por un valor aproximado de $4.23 millones . Esto sugiere que el explotador convirtió las stablecoins y tokens robados en ETH, pero se detuvo antes de retirar todo el efectivo, posiblemente receloso de activar más congelamientos en exchanges o la atención de las fuerzas de seguridad.

El saldo retenido por el atacante representa una huella en cadena en vivo. Los investigadores de seguridad y las firmas de análisis de blockchain continúan rastreando la billetera, y cualquier movimiento futuro probablemente activará alertas en las principales plataformas de cumplimiento .

Qué es Gravity Bridge y por qué es importante

Gravity Bridge es una cadena de bloques descentralizada y sin confianza construida para conectar los ecosistemas de Ethereum y Cosmos a través del protocolo de Comunicación Inter-Blockchain (IBC). Permite a los usuarios transferir activos ERC-20 como USDC, DAI y WETH al universo Cosmos y viceversa, sin depender de un custodio centralizado .

A mediados de 2026, Gravity Bridge había acumulado más de 50 mil millones de dólares en volumen acumulado de puente y operaba con un conjunto de más de 100 validadores para la finalidad de las transacciones . El puente fue diseñado para ser neutral y de acceso sin permisos, con la gobernanza distribuida entre múltiples partes interesadas. Antes del exploit del 30 de mayo, su valor total bloqueado (TVL) se situaba en aproximadamente 11.5 millones de dólares, según el rastreo en cadena citado en la cobertura del incidente .

La brecha expuso una tensión fundamental en el diseño de puentes. La arquitectura de Gravity Bridge es descentralizada a nivel de gobernanza y validadores, pero el uso de claves de firma privilegiadas para autorizar retiros en el lado de Ethereum introdujo un punto de confianza concentrado. Cuando esa clave se vio presuntamente comprometida, el atacante pudo drenar fondos sin necesidad de vulnerar el modelo de seguridad más amplio del puente .

Un mes negro para los puentes entre cadenas

El exploit de Gravity Bridge no fue un incidente aislado. Para mediados de mayo de 2026, PeckShield ya había registrado ocho grandes hackeos a puentes entre cadenas por un total de 328.6 millones de dólares en activos robados en 2026 . La lista incluye:

Gravity Bridge se convierte en la novena gran incorporación a esta sombría lista, probablemente elevando el total de 2026 por encima de los 330 millones de dólares incluso antes de junio. La frecuencia y escala de estos incidentes han convertido la seguridad de los puentes en uno de los problemas más urgentes de la industria .

Gestión de claves centralizada: el talón de Aquiles recurrente

Si hay un hilo conductor en estos exploits, no es necesariamente la calidad del código, sino la arquitectura de gestión de claves.

El incidente de Kelp/LayerZero en abril representó 292 millones de dólares por sí solo, y al igual que el evento de Gravity Bridge, planteó preguntas sobre los mecanismos de autorización más que sobre errores puramente técnicos. Cuando la seguridad de un puente depende de un pequeño conjunto de claves de firma —incluso si esas claves están en manos de partes respetadas— cualquier clave comprometida puede convertirse en una llave maestra para un atacante .

El exploit de Gravity Bridge refuerza un argumento que los investigadores de seguridad han estado planteando durante años: el consenso descentralizado en una capa de la pila tecnológica no compensa la gestión centralizada de claves en otra. Se han propuesto como mitigaciones las billeteras de computación multipartita (MPC), los esquemas de firma de umbral y los módulos de seguridad de hardware (HSM), pero su adopción sigue siendo inconsistente en el panorama de los puentes.

El incidente también resalta una realidad pragmática para los investigadores. Dado que el atacante intercambió las stablecoins robadas por ETH y dejó la mayor parte en una billetera rastreable, la brecha se convierte en un caso de estudio en vivo para la recuperación de activos y el rastreo legal. Queda por ver si esto conducirá a la devolución de los fondos, o simplemente a otra dirección más añadida a una interminable lista negra en cadena.