No fue un fallo del código sino de las personas: un hacker robó 5,4 millones de dólares a Gravity Bridge sin explotar vulnerabilidades ni hackear el sistema.
El ladrón más astuto es el que tiene paciencia.
Los puentes entre cadenas de bloques volvieron a mostrar su punto débil: el dinero puede desaparecer no por un error en el código, sino por el control sobre quienes validan las operaciones. Así ocurrió con Gravity Bridge, donde un atacante retiró alrededor de $5,4 millones después de que tomó el control del conjunto de validadores en la red Ethereum.
Gravity Bridge conecta Ethereum con la cadena Gravity, construida sobre Cosmos. El contrato en Ethereum libera fondos solo después de que la operación sea confirmada por validadores que representen dos tercios de la potencia de voto. Según los datos de BlackHart, el atacante consiguió firmas de validadores legítimos y cambió la composición del conjunto: en lugar de 58 participantes quedaron 34. Ese paso concentró el control y luego permitió firmar las retiradas de fondos.
Del puente se retiraron 4,35 millones de USDC, 274 ETH, 434 mil USDT y 14,16 PAXG respaldados en oro. El daño total ascendió a unos $5,4 millones. Tras el robo, los activos se cambiaron por ETH y se transfirieron a una billetera separada. Parte de los fondos pasó por ChangeNow y Binance, y en el momento del informe al atacante le quedaban aproximadamente 2059 ETH.
El código del contrato de Gravity Bridge, según BlackHart, no fue vulnerado. El contrato funcionó según su diseño: verificó las firmas de los validadores y aceptó el nuevo estado. El problema fue que las firmas se convirtieron en la única barrera. En el sistema no había retraso antes de cambiar el conjunto de validadores, ni un mecanismo de protección aparte, ni un paro de emergencia ni un límite para retiradas rápidas de grandes sumas.
El ataque comenzó desde una billetera que a comienzos de 2025 ya había operado con Gravity como retransmisor legítimo y luego permaneció inactiva unos 280 días. El 28 de mayo de 2026 la billetera llamó a la función updateValset y redujo el conjunto de validadores de 58 a 34. El antiguo conjunto confirmó el cambio con una firma que alcanzó el umbral de votos requerido.
Alrededor de 28 horas después, el nuevo conjunto, más concentrado, firmó cuatro lotes de retiro. Todos los activos se enviaron a una misma dirección, tras lo cual los tokens se cambiaron por ETH y se consolidaron en una billetera de custodia. BlackHart considera más probable no que decenas de validadores hayan aceptado por casualidad, sino que los atacantes comprometieron el sistema automatizado de firma.
Otros puentes y protocolos, según el informe, no resultaron afectados. Los fondos que estaban en el contrato de Gravity Bridge en Ethereum fueron retirados. Aún no se ha logrado recuperar los activos robados.
El caso recuerda a los ataques a Ronin Bridge y a Harmony Horizon en 2022, donde los atacantes también obtuvieron acceso a un número suficiente de firmas y pudieron retirar fondos sin vulnerar la lógica del contrato. En esquemas similares, el riesgo no reside solo en el código, sino en quién controla las claves, cómo se verifican las operaciones y si el equipo tiene tiempo para frenar cambios sospechosos.
BlackHart recomienda que Gravity y los validadores reemplacen todas las claves, revisen la cadena de firma automatizada y restablezcan la composición legítima de validadores solo después de una verificación manual. Para los puentes en general, los expertos aconsejan añadir un retraso antes de cambiar la composición de validadores, un mecanismo de pausa de emergencia y límites en las retiradas, para que la captura de firmas no se convierta en un vaciado instantáneo del contrato.