日本語 · 中文 · English

Gravity Bridgeで540万ドル流出:ブリッジリスクはあなたのUSDTカードにどれだけ近いか

2026-05-31

セキュリティ研究者によると、Cosmosベースのクロスチェーンブリッジ Gravity Bridge が秘密鍵漏洩の疑いで約540万ドル被害に遭った。The Blockの報道によれば、攻撃者はUSDC、ETH、Tether(USDT)、そしてPAYGトークンを持ち去り、その一部を既にChangeNowとBinance経由で洗浄したとみられる。研究者はこれをスマートコントラクトのロジック脆弱性ではなく「鍵漏洩」型の事件と分類している——つまり問題はコントラクトコードが破られたことではなく、ブリッジ資産を制御する鍵そのものにあるということだ。

USDTカード利用者へ:残高は安全だが、流通経路には注意を

まず結論から言えば、あなたのUSDTがMPCardのようなカストディ型Uカードアカウント、あるいはBybit Cardに紐づく取引所アカウントに置かれている場合、今回の事件はあなたの残高に直接影響することはない。Gravity BridgeはCosmosエコシステムとイーサリアムを繋ぐ資産ブリッジであり、盗まれたのはブリッジのコントラクトにロックされていた流動性資産であって、特定のカード利用者個人のウォレットではない。

ただし、Uカード利用者が留意すべき間接的なシグナルが2つある:

7日以内:取引所は通常、追跡可能な被害アドレスを凍結するため、一般ユーザーの入出金にはほぼ影響がない。30日以内:関連するアドレスクラスターに対するオンチェーンでのタグ付けが拡大する可能性がある。90日以内:資産が既に洗浄され通常の流通に戻っている場合、影響はほぼ消える——規制当局が取引所に追跡を求めない限りは。カストディ型Uカードが入金リスク管理をどう扱っているか知りたい方は、まずMPCardレビューを読んでほしい。

過去との比較:2022年のブリッジ事件の年とどこが似ていて、どこが違うか

クロスチェーンブリッジの被害は今に始まった話ではない。2022年にはRoninブリッジ(6億2500万ドル)、Wormhole(3億2000万ドル)、Nomad(1億9000万ドル)という3件の大規模事件が発生し、「ブリッジはDeFi最大の単一障害点である」という業界共通認識が形作られた。今回のGravity Bridgeの540万ドルという規模はそれよりはるかに小さいが、その性質はRoninの事件と極めて似ている——いずれも秘密鍵・検証者鍵が制御されたのであって、コントラクトロジックが迂回されたわけではない。

共通点:攻撃対象は常に「誰がブリッジのマルチシグ/検証者鍵を保持しているか」というガバナンス上の弱点であり、コード監査では鍵管理の問題を救えない。

相違点:2022年の一連の攻撃は、クロスチェーンブリッジのTVLがピークに達し、規制がほぼ不在だった環境で発生した。一方2026年の現在、主要取引所は成熟したオンチェーン分析コンプライアンスプロセスを既に確立しており、攻撃者がUSDTをBinanceへ洗浄できる窓口は3年前よりはるかに狭くなっている。Tether自身も被害に関わったアドレスを凍結する能力を保持しており、Tether透明性ページでその過去の凍結記録を確認できる。これこそがUSDTと分散型ステーブルコインの「盗難後に回収できるかどうか」における決定的な違いだ。

コンプライアンスの視点:ブリッジはどの国の規制にも属さないが、出口は規制対象になる

クロスチェーンブリッジ自体は明確な法的グレーゾーンに位置している——法人格を持たず、ライセンスも申請せず、単一の管轄区域の直接的な規制下にもない。実際に規制の制約を受けるのは出金先の取引所発行会社である。盗まれたUSDTがライセンスを持つ取引所に流入した瞬間、AML/CTFルールが発動する。

規制対象の管轄区域でカードを利用している読者は、現地の枠組みに沿ってリスク管理の論理を理解することをお勧めする。EUのユーザーはEU MiCAコンプライアンスガイド、香港のユーザーは香港コンプライアンスガイド、シンガポールのユーザーはシンガポールコンプライアンスガイドを参照してほしい。核心となる境界線はこうだ:正常な出所のUSDTを保有・利用することは完全に合法であり、盗難アドレスに追跡できる資産を受け取った場合は凍結・審査の対象になり得る——このラインはあらゆるライセンス取得済み管轄区域で共通している。

今後注目すべきいくつかの節目

  1. 盗難アドレスがTetherに凍結されるか:Tetherが関連するUSDTアドレスに対して凍結措置を実行するかどうかに注目してほしい。これは通常、事件発生から数日以内に起こる。
  2. BinanceおよびChangeNowの公式対応:関連する入金を凍結するか、追跡に協力するか。
  3. Gravity Bridgeチームの事後報告:鍵漏洩の経路を確認するか、ブリッジ内の流動性提供者への補償を計画するか。
  4. Cosmosエコシステム全体でのブリッジ審査が広がるか:同様の事件は、同じエコシステム内の他のブリッジに対する緊急セキュリティレビューを引き起こすことが多い。

編集部からの提言

クロスチェーンブリッジ事故から得られる本当の教訓は、「USDTは安全ではない」ということではなく、「USDTがどの経路上に留まっているのが最も危険か」ということだ。自分がリスク管理のルールをコントロールできる場所に資産を置いておく——これが今回の540万ドルの事件が、すべてのUカード利用者に与える無料の一課である。