Am 4. Juni 2026 verlor die Gravity Bridge – eine Cross-Chain-Bridge, die Cosmos-basierte Blockchains mit Ethereum verbindet – rund 5.4 Millionen US-Dollar an einen Angreifer, der eine Sicherheitslücke in der Token-Identifikation der Bridge ausnutzte. rekt.newsDer Angreifer prägte wertlose Token auf Osmosis, manipulierte das Token-Register mit einer gefälschten Wertangabe und nutzte diese gefälschte Wertangabe anschließend, um reale Vermögenswerte zu erlangen. Die Summe von 5.4 Millionen US-Dollar ist eine erste Schätzung und kann sich im Zuge der weiteren On-Chain-Analyse noch ändern.
TL; DR: Gravity Bridge wurde nicht durch einen Fehler im Smart Contract außer Gefecht gesetzt – die Validierung der Wertzeichenfolge eines Tokens schlug fehl, wodurch ein Angreifer mithilfe einer gefälschten Kennung echten Token-Betrag abgreifen konnte. Der Fehler lag in der Logik und Konfiguration, nicht in einer kryptografischen Schwachstelle.
Was geschah wirklich auf der Schwerkraftbrücke?
Gravity Bridge transferiert Assets zwischen Cosmos-Chains und Ethereum. Dazu ordnet es ein Token einer Chain einer Repräsentation auf einer anderen Chain mithilfe einer Zeichenkette zu, die als Token-Abschnitt bezeichnet wird. Nennwert — kurz für Wertbezeichnung. Diese Zeichenkette ist die zentrale Informationsquelle für die Frage: „Um welches Gut handelt es sich und welchen Wert hat es?“
für rekt.newsDer Angreifer prägte auf Osmosis einen wertlosen Token und schleuste anschließend eine gefälschte Währungsangabe in das Register der Bridge ein. Da die Bridge diese Angabe nicht korrekt validierte, behandelte sie die gefälschte Währungsangabe so, als ob sie einem realen, wertvollen Vermögenswert zugeordnet wäre. Der Angreifer hob daraufhin echte Vermögenswerte gegen den gefälschten Eintrag ab und erbeutete so schätzungsweise 5.4 Millionen US-Dollar.
Dies war kein Fehler in den zugrundeliegenden Blockchains oder deren Kryptografie. Es handelte sich um eine Validierungslücke in der Art und Weise, wie die Bridge Denom-Daten akzeptierte und ihnen vertraute – ein Logik- und Konfigurationsproblem. Bridges sind häufige Angriffsziele, da sie gepoolte Assets verwalten und auf Off-Chain- oder Registry-Daten angewiesen sind, die, wenn sie manipuliert werden, gegen den Pool verwendet werden können.
Was das für Nutzer von Swap- und Privacy-Coins bedeutet
Die meisten Menschen betreiben keine direkte Bridge. Sie interagieren indirekt mit einer solchen – wenn eine Börse, ein Wrapper oder ein Routing-Dienst ihre Gelder zwischen verschiedenen Blockchains transferiert und sie, sei es auch nur kurz, in einem gemeinsamen Pool verwahrt. Genau dort konzentriert sich das Risiko.
Wenn Sie Vermögenswerte über eine Cross-Chain-Custodial-Plattform transferieren oder dort verwahren, befinden sich Ihre Gelder zusammen mit denen aller anderen Nutzer in einem Pool, der von der Validierungslogik des Betreibers abhängt. Versagt diese Logik – wie hier geschehen –, sind die gepoolten und während des Transfers befindlichen Gelder gefährdet. Der Vorfall bei Gravity Bridge ist der jüngste in einer langen Reihe von Bridge- und Pool-Custodial-Fehlern, nach den Sicherheitslücken 2026 bei THORChain und mehreren Datenverlusten im Safe-Modul.
Die praktische Schlussfolgerung lautet ungefähr Architektur, nicht die Schuld geben:
- Die Zusammenlegung von Depots konzentriert das Risiko — Ein einziger Validierungsfehler kann alle Einzahler gleichzeitig betreffen.
- Brücken schaffen Vertrauensbasis — Jeder Wrapping-, Registry- und Denom-Mapping-Schritt birgt das Risiko einer Fehlkonfiguration.
- Gelder im Transit sind gefährdet — Je länger Vermögenswerte in einem gemeinsamen Vertrag verbleiben, desto größer wird das Ziel.
Wie sich ein Non-Custodial-Swap strukturell unterscheidet
Bei einem Non-Custodial-Swap ohne KYC-Prüfung werden Ihre Vermögenswerte direkt über diesen Kanal geleitet, anstatt in einem gemeinsamen Pool geparkt zu werden. Der Unterschied ist struktureller Natur und keine Sicherheitsgarantie – jeder Dienst hat eine Angriffsfläche –, aber er verändert die Situation. wer ist welchen Einflüssen ausgesetzt?.
GhostSwap ist eine Kryptobörse ohne KYC-Verfahren: Für den Tausch sind weder ein Konto noch eine E-Mail-Adresse oder eine Identitätsprüfung erforderlich. Die Gelder werden nicht verwahrt – sie werden niemals von GhostSwap einbehalten. Sie geben eine Empfangsadresse und gegebenenfalls eine Rückbuchungsadresse an; der Tausch wird direkt an diese Adresse abgeschlossen.
| Funktion | Non-Custodial Swap (GhostSwap) | Brücke / gemeinsame Verwahrung |
|---|---|---|
| Wo sich die Gelder befinden | Durchgeleitet; an Ihre Adresse weitergeleitet | In einem gemeinsamen Vertrag zusammengefasst |
| Konto / KYC | Nicht erforderlich | Oftmals kontobeschränkt |
| Vertrauensoberfläche | Routing + Gegenpartei | Registry, Denom-Mapping, Pool-Logik |
| Wer wird in einem Abflussrohr bloßgestellt? | Nur während des Transits | Alle Einleger im Pool |
GhostSwap unterstützt über 1,600 Handelspaare in den Netzwerken von BTC, ETH, XMR, SOL und anderen Kryptowährungen. Die Preise basieren auf aggregierter Liquidität führender Kryptomärkte und sind variabel. Die durchschnittliche Swap-Dauer beträgt etwa 8 Minuten, kann aber je nach Auslastung der Blockchain variieren (in Ausnahmefällen kann es bis zu 30 Minuten dauern). Es geht nicht darum, dass Pass-Through-Swaps risikofrei sind, sondern darum, dass Sie Ihre Vermögenswerte nicht in einem Pool hinterlegen müssen, der durch gefälschte Token leicht geleert werden kann.
Wie man tauscht, ohne Gelder in einem Brückenpool zu halten
Wenn Sie zwischen Blockchains wechseln möchten, ohne Gelder in einer Verwahrstelle zu belassen, bietet ein Pass-Through-Swap das einfachere Risikoprofil. Der Ablauf ist kurz:
- Wähle dein Paar - beispielsweise, Tausche BTC in XMR.
- Geben Sie Ihre Empfangsadresse ein — und eine Adresse für die Rückerstattung.
- Senden Sie die Anzahlung — Der Tauschvorgang läuft über Ihre Adresse und wird dort abgeschlossen.
Sie können mit dem Tausch-Widget auf der GhostSwap-Homepage Ohne Konto und E-Mail-Adresse. Eine Schritt-für-Schritt-Anleitung finden Sie hier: wie man Krypto kauft.
FAQ
F: Wurde Gravity Bridge durch einen Fehler in einem Smart Contract gehackt?
A: Nein. rekt.newsDer Verlust resultierte aus einem Fehler bei der Validierung der Token-Zeichenkette – einer Logik- und Konfigurationslücke – und nicht aus einem Fehler in der Kryptografie der Blockchain. Der Angreifer hatte einen Token-Identifikator gefälscht, dem die Bridge vertraute.
F: Wie hoch war der Verlust bei der Gravity Bridge-Attacke?
A: Geschätzte 5.4 Millionen US-Dollar zum 4. Juni 2026. Dies ist eine vorläufige Schätzung; On-Chain-Forensik kann die Schadensschätzungen im Zuge der weiteren Analyse revidieren.
F: Sind meine Gelder bei einem Swap ohne Verwahrung sicherer?
A: Bei einem Non-Custodial-Swap werden die Gelder nicht in einem Pool zusammengeführt, sondern direkt durchgeleitet. Dadurch sind nicht alle Einleger von einem Ausfall eines einzelnen Pools betroffen. Dies ist ein struktureller Unterschied, keine Garantie – jeder Dienst hat ein Angriffspotenzial.
F: Benötige ich ein Konto, um GhostSwap zu nutzen?
A: Nein. Es gibt kein Konto, keine E-Mail-Adresse und keine Identitätsprüfung, die ausgetauscht werden müsste. Sie geben eine Empfangsadresse und optional eine Rücksendeadresse an; die Gelder werden ohne Verwahrung durch Sie überwiesen.
Tauschen Sie, ohne Ihr Geld in einem Pool anzulegen.
Bridge-Drains belasten immer wieder gepoolte, verwahrte Systeme. Wenn Sie Ihre Vermögenswerte nicht in einem gemeinsamen Vertrag belassen möchten, starten Sie einen No-Account-Swap vom [Datum einfügen]. GhostSwap-Homepage.
