Investigadores de seguridad afirman que el puente entre cadenas basado en Cosmos, Gravity Bridge, sufrió un presunto robo de aproximadamente $5.4M por compromiso de clave privada. Según informó The Block, los atacantes sustrajeron USDC, ETH, Tether (USDT) y tokens PAYG, y ya han lavado parte de ellos a través de ChangeNow y Binance. Los investigadores lo clasifican como un incidente de “compromiso de clave” y no de vulnerabilidad en la lógica del contrato inteligente; es decir, el problema está en la propia clave que controla los activos del puente, no en que el código del contrato haya sido vulnerado.
Para usuarios de tarjetas USDT: tu saldo está seguro, pero presta atención a la ruta de circulación
Vamos directo a la conclusión: si tu USDT está en una cuenta de tarjeta USDT custodiada como MPCard, o en una cuenta de exchange vinculada a Bybit Card, este incidente no afecta directamente tu saldo. Gravity Bridge es un puente de activos que conecta el ecosistema Cosmos con Ethereum; lo robado es la liquidez bloqueada en el contrato del puente, no las billeteras personales de usuarios de alguna tarjeta.
Sin embargo, hay dos señales indirectas que vale la pena que los usuarios de tarjetas USDT tengan presentes:
- Riesgo en la ruta de recarga: muchas personas, al recargar su tarjeta USDT, suelen mover primero sus activos a través de cadenas a una red más barata antes de retirarlos. Si has usado puentes entre cadenas menos conocidos, incluido Gravity Bridge, para mover USDT, este incidente te recuerda que dejar fondos estacionados a largo plazo en un estado intermedio del puente es una operación de alto riesgo. Antes y después de recargar, procura usar la red principal o transferencias internas dentro del exchange.
- Riesgo por vínculo de lavado en exchanges: los atacantes lavaron fondos a través del sitio principal de Binance, la misma entidad vinculada a Binance Card, lo que implica que este lote de USDT contaminado podría entrar en las listas de revisión de cumplimiento de los exchanges. En el corto plazo, los depósitos grandes de USDT de origen no claro tienen más probabilidad de activar una revisión de control de riesgo.
En 7 días: los exchanges suelen congelar las direcciones rastreables vinculadas al robo, y los usuarios comunes apenas notarán algo en sus depósitos y retiros. En 30 días: es posible que se amplíe el marcado en cadena dirigido a los clústeres de direcciones involucradas. En 90 días: si los activos ya han sido “blanqueados” y reintegrados a la circulación normal, el impacto prácticamente desaparece, salvo que la intervención regulatoria obligue a los exchanges a rastrearlos. Si quieres entender cómo manejan las tarjetas USDT custodiadas el control de riesgo en los depósitos, puedes leer primero la reseña de MPCard.
Comparación histórica: qué se parece y qué es diferente respecto al “año de los puentes” de 2022
Los robos en puentes entre cadenas no son novedad. En 2022, tres grandes casos —el puente Ronin ($625M), Wormhole ($320M) y Nomad ($190M)— consolidaron en el consenso de la industria la idea de que “el puente es el punto único más grande de DeFi”. Este robo de Gravity Bridge, de $5.4M, es mucho menor en escala, pero su naturaleza es muy similar a la de Ronin: en ambos casos se trató del control de claves privadas o de validador, no de la elusión de la lógica del contrato.
Similitudes: la superficie de ataque en ambos casos es el punto débil de gobernanza de “quién controla las claves multifirma o de validador del puente”; ninguna auditoría de código puede resolver una mala gestión de claves.
Diferencias: los ataques de 2022 ocurrieron en el pico de TVL de los puentes entre cadenas, en un entorno con regulación casi ausente; hoy, en 2026, los principales exchanges ya han establecido procesos de cumplimiento de análisis en cadena maduros, y la ventana para que los atacantes laven USDT en Binance es mucho más estrecha que hace tres años. La propia Tether conserva la capacidad de congelar direcciones involucradas; puedes consultar su historial de congelamientos en la página de transparencia de Tether. Esta es precisamente la diferencia clave entre USDT y las stablecoins descentralizadas en cuanto a si es posible recuperar fondos tras un robo.
Perspectiva de cumplimiento: el puente no está bajo la jurisdicción de ningún país, pero la salida de fondos sí
Los puentes entre cadenas se encuentran en una clara zona gris legal: no tienen una entidad definida, no solicitan licencias y no están directamente regulados por ninguna jurisdicción única. Lo que sí está sujeto a regulación son los exchanges por donde salen los fondos y los emisores de tarjetas. Una vez que el USDT robado ingresa a un exchange con licencia, se activan las reglas de AML/CTF.
Para lectores que usan tarjetas en jurisdicciones reguladas, conviene entender la lógica de control de riesgo según el marco local: los usuarios de la UE pueden consultar la guía de cumplimiento de la UE (MiCA), los usuarios de Hongkong la guía de cumplimiento de Hongkong, y los usuarios de Singapur la guía de cumplimiento de Singapur. El límite central es: poseer y gastar USDT de origen normal es completamente legal; recibir activos rastreables a direcciones robadas puede ser objeto de congelamiento y revisión, y esta línea se mantiene válida en todas las jurisdicciones con licencia.
Puntos a seguir de cerca a continuación
- Si Tether congela las direcciones robadas: presta atención a si Tether ejecuta el congelamiento de las direcciones de USDT involucradas, algo que suele ocurrir días después del incidente.
- La respuesta oficial de Binance / ChangeNow: si los exchanges congelan los depósitos relacionados y si colaboran con el rastreo.
- El informe posterior del equipo de Gravity Bridge: si confirman la ruta del compromiso de clave y si planean compensar a los proveedores de liquidez del puente.
- Si se desencadena una revisión de seguridad más amplia en el ecosistema de puentes de Cosmos: incidentes similares suelen provocar revisiones de seguridad de emergencia en otros puentes del mismo ecosistema.
Recomendación editorial
- Usuarios con tarjetas USDT custodiadas (como MPCard, Bybit Card) cuyos activos están en la cuenta de la tarjeta: no se requiere ninguna acción, tu saldo no está relacionado con este incidente.
- Usuarios que suelen usar puentes entre cadenas menos conocidos para mover USDT antes de recargar: pausen el uso de Gravity Bridge y de puentes no auditados del mismo ecosistema; prioricen la red principal o las transferencias internas dentro del exchange para evitar dejar fondos estacionados en un estado intermedio del puente.
- Usuarios con planes de depósito grande de USDT en el corto plazo: aseguren que el origen de los fondos sea claro, evitando recibir transferencias cuyo origen no se pueda justificar, para no activar una revisión de control de riesgo.
- Si quieres elegir una tarjeta USDT con control de riesgo de depósitos transparente y ruta simple, puedes comparar el Top 5 de tarjetas USDT 2026 y las tarjetas USDT con comisiones más bajas, y luego volver a la reseña de MPCard para ver los detalles de la ruta de recarga.
La verdadera lección de los incidentes en puentes entre cadenas nunca ha sido “USDT no es seguro”, sino “en qué tramo de la ruta el USDT corre más peligro al quedar estacionado”. Mantener los activos donde tú puedas controlar las reglas de gestión de riesgo: esa es la lección gratuita que estos $5.4M dejan para cada usuario de tarjeta USDT.