セキュリティ研究者によると、Cosmosベースのクロスチェーンブリッジ Gravity Bridge が秘密鍵漏洩の疑いで約540万ドル被害に遭った。The Blockの報道によれば、攻撃者はUSDC、ETH、Tether(USDT)、そしてPAYGトークンを持ち去り、その一部を既にChangeNowとBinance経由で洗浄したとみられる。研究者はこれをスマートコントラクトのロジック脆弱性ではなく「鍵漏洩」型の事件と分類している——つまり問題はコントラクトコードが破られたことではなく、ブリッジ資産を制御する鍵そのものにあるということだ。
USDTカード利用者へ:残高は安全だが、流通経路には注意を
まず結論から言えば、あなたのUSDTがMPCardのようなカストディ型Uカードアカウント、あるいはBybit Cardに紐づく取引所アカウントに置かれている場合、今回の事件はあなたの残高に直接影響することはない。Gravity BridgeはCosmosエコシステムとイーサリアムを繋ぐ資産ブリッジであり、盗まれたのはブリッジのコントラクトにロックされていた流動性資産であって、特定のカード利用者個人のウォレットではない。
ただし、Uカード利用者が留意すべき間接的なシグナルが2つある:
- 入金経路のリスク:多くの人はUカードへの入金時、まず資産を手数料の安いネットワークへクロスチェーンで移してから送金する習慣がある。Gravity Bridgeを含む知名度の低いクロスチェーンブリッジを使ってUSDTを移動させたことがある人にとって、今回の事件は「資金をブリッジの中間状態に長期間留めておくことがハイリスクな行為である」ことを改めて示している。入金の前後は、できる限りメインネットまたは取引所内部の振替を利用すべきだ。
- 取引所の洗浄関連リスク:攻撃者がBinance Cardと同系列のBinance本体を経由して洗浄を行ったということは、この汚染されたUSDTが取引所のコンプライアンス審査リストに入る可能性があることを意味する。短期的には、出所不明で高額なUSDT入金がリスク審査の対象になりやすくなる。
7日以内:取引所は通常、追跡可能な被害アドレスを凍結するため、一般ユーザーの入出金にはほぼ影響がない。30日以内:関連するアドレスクラスターに対するオンチェーンでのタグ付けが拡大する可能性がある。90日以内:資産が既に洗浄され通常の流通に戻っている場合、影響はほぼ消える——規制当局が取引所に追跡を求めない限りは。カストディ型Uカードが入金リスク管理をどう扱っているか知りたい方は、まずMPCardレビューを読んでほしい。
過去との比較:2022年のブリッジ事件の年とどこが似ていて、どこが違うか
クロスチェーンブリッジの被害は今に始まった話ではない。2022年にはRoninブリッジ(6億2500万ドル)、Wormhole(3億2000万ドル)、Nomad(1億9000万ドル)という3件の大規模事件が発生し、「ブリッジはDeFi最大の単一障害点である」という業界共通認識が形作られた。今回のGravity Bridgeの540万ドルという規模はそれよりはるかに小さいが、その性質はRoninの事件と極めて似ている——いずれも秘密鍵・検証者鍵が制御されたのであって、コントラクトロジックが迂回されたわけではない。
共通点:攻撃対象は常に「誰がブリッジのマルチシグ/検証者鍵を保持しているか」というガバナンス上の弱点であり、コード監査では鍵管理の問題を救えない。
相違点:2022年の一連の攻撃は、クロスチェーンブリッジのTVLがピークに達し、規制がほぼ不在だった環境で発生した。一方2026年の現在、主要取引所は成熟したオンチェーン分析コンプライアンスプロセスを既に確立しており、攻撃者がUSDTをBinanceへ洗浄できる窓口は3年前よりはるかに狭くなっている。Tether自身も被害に関わったアドレスを凍結する能力を保持しており、Tether透明性ページでその過去の凍結記録を確認できる。これこそがUSDTと分散型ステーブルコインの「盗難後に回収できるかどうか」における決定的な違いだ。
コンプライアンスの視点:ブリッジはどの国の規制にも属さないが、出口は規制対象になる
クロスチェーンブリッジ自体は明確な法的グレーゾーンに位置している——法人格を持たず、ライセンスも申請せず、単一の管轄区域の直接的な規制下にもない。実際に規制の制約を受けるのは出金先の取引所と発行会社である。盗まれたUSDTがライセンスを持つ取引所に流入した瞬間、AML/CTFルールが発動する。
規制対象の管轄区域でカードを利用している読者は、現地の枠組みに沿ってリスク管理の論理を理解することをお勧めする。EUのユーザーはEU MiCAコンプライアンスガイド、香港のユーザーは香港コンプライアンスガイド、シンガポールのユーザーはシンガポールコンプライアンスガイドを参照してほしい。核心となる境界線はこうだ:正常な出所のUSDTを保有・利用することは完全に合法であり、盗難アドレスに追跡できる資産を受け取った場合は凍結・審査の対象になり得る——このラインはあらゆるライセンス取得済み管轄区域で共通している。
今後注目すべきいくつかの節目
- 盗難アドレスがTetherに凍結されるか:Tetherが関連するUSDTアドレスに対して凍結措置を実行するかどうかに注目してほしい。これは通常、事件発生から数日以内に起こる。
- BinanceおよびChangeNowの公式対応:関連する入金を凍結するか、追跡に協力するか。
- Gravity Bridgeチームの事後報告:鍵漏洩の経路を確認するか、ブリッジ内の流動性提供者への補償を計画するか。
- Cosmosエコシステム全体でのブリッジ審査が広がるか:同様の事件は、同じエコシステム内の他のブリッジに対する緊急セキュリティレビューを引き起こすことが多い。
編集部からの提言
- MPCardやBybit Cardなどカストディ型Uカードを保有し、資産をカードアカウント内に置いているユーザー:特に何もする必要はない。あなたの残高はこの件と無関係だ。
- 知名度の低いクロスチェーンブリッジでUSDTを移動させてから入金する習慣のあるユーザー:Gravity Bridgeおよび同エコシステムの未監査ブリッジの利用を当面控えよう。入金はできる限りメインネットまたは取引所内部の振替を優先し、資金をブリッジの中間状態に留めることを避けるべきだ。
- 近々高額のUSDT入金を予定しているユーザー:資金の出所を明確にしておくこと。出所を説明できない送金の受け取りは避け、リスク審査のトリガーにならないようにしよう。
- 入金リスク管理が透明で経路がシンプルなUカードを選びたい場合は、2026年Uカードトップ5と手数料最安のUカードを比較したうえで、MPCardレビューに戻り具体的な入金経路の説明を確認してほしい。
クロスチェーンブリッジ事故から得られる本当の教訓は、「USDTは安全ではない」ということではなく、「USDTがどの経路上に留まっているのが最も危険か」ということだ。自分がリスク管理のルールをコントロールできる場所に資産を置いておく——これが今回の540万ドルの事件が、すべてのUカード利用者に与える無料の一課である。