Gnosisの共同創業者は、Gnosis Payがexploit(攻撃)を受けたことを認め、ユーザーの損失を全額(100%)補償すると公に約束した。CriptoNoticiasの報道によると、本稿執筆時点でGnosis側は被害額を公表しておらず、補償の仕組みやスケジュールについても説明していない。Gnosis PayはGnosis Chainをベースにしたセルフカストディ型のVisaデビットカードで、「カード残高はユーザー自身がオンチェーンウォレットで保有する」という設計を売りにしている——そしてこの設計こそが、今回の事件の核心となっている。
編集部の見解:オンチェーンカードの「スマートコントラクト層」リスクが露呈
まず結論から言おう。今回被害を受けたのは中央集権型のカストディカードではなく、「安全性」をスマートコントラクトとオンチェーンアカウントの上に築いた製品だ。 この件がUSDTカード利用者に与える示唆は、「またカードがハッキングされた」という表面的な話よりもはるかに大きい。
Gnosis Payの中核となる訴求ポイントは「あなたの資金はあなた自身のSafeウォレットにあり、発行元は触れない」というものだ。理論上はカストディ型の方式より安全なはずだが、その代償として攻撃対象が「発行元のサーバー」から「スマートコントラクト+あなたのウォレットの承認(approval)」へと移る。ひとたびコントラクトや承認ロジックにexploitが発生すれば、セルフカストディの利点は一瞬で弱点に転じる。
どのユーザーがすぐに注目すべきか?
- セルフカストディ/オンチェーン署名型カードを保有しているユーザー:OneKey CardやLedger Crypto Lifeのように、ハードウェアウォレットやオンチェーンアカウントを資金の拠点とする製品が該当する。今回の事件が直接波及するわけではないが、同種のアーキテクチャリスクを抱えている以上、自身のコントラクト承認(approval)記録を見直す価値はある。
- カストディ型USDTカード利用者:Bybit CardやMPCardのように、資金を発行元・取引所がカストディする方式では、今回の事件は直接的な技術的影響を及ぼさない——Gnosis関連の承認を一切保有していないためだ。
7日/30日/90日の見通し:7日以内にGnosisが被害額と補償の詳細を公表するかを注視すべきだ。30日以内が補償実行のカギとなる時期であり(「補償を約束する」ことと「実際に補償された」ことの間には、歴史的に見て軽視されがちなギャップがある)。90日以内には、Gnosis Payが事後の監査報告を公表するかどうかを観察すべきだろう。
過去事例との比較:補償の約束 ≠ 実際の補償
今回の件を2つの過去事例と並べてみると、より輪郭がはっきりする。
2023年3月、USDCはシリコンバレー銀行のリスクを受けて一時0.87付近までペッグが外れたが、当時Circleは迅速に「全額償還」を約束し、銀行問題が沈静化した後にそれを実行した——これは準備資産の透明性と仕組みが明確な約束だった。一方、今回のGnosisの約束は金額や仕組みの開示を欠いている点が最大の違いだ。ある企業が「全損失を補償する」と言いながら、どれだけの額を、どの資金で、いつ支払うのかを示さない場合、その約束の信頼性は実行によってしか検証できない。
もう一つの比較対象は、2024年に複数のDeFiプロトコルが攻撃を受けた後の「ガバナンス金庫による補償」の事例だ——そのうちかなりの割合が最終的に部分補償にとどまったり、原資産ではなくトークンでの補償になったりした。共通点は、いずれもオンチェーン製品であり、公に補償を約束している点だ。相違点は、Gnosis Payが現実世界の決済(Visaネットワーク)に直接紐づいており、ユーザー層には日常の消費用カードとしてこれを使う非DeFiネイティブなユーザーが多数含まれることだ。彼らの「オンチェーンリスク」に対する許容度は、DeFiプレイヤーよりもはるかに低い。
規制・コンプライアンスの視点:EUの境界線が締まりつつある
Gnosis Payは主に欧州市場を対象としており、MiCARおよびEMI(電子マネー機関)の規制枠組みの下で運営されている。今回のような事案は、規制上最も敏感な位置を突いている。セルフカストディ資金と規制対象の決済ネットワークが混在するハイブリッド構造は、現時点でEU内ではルールがまだ完全には明確化されていないグレーゾーンにある。 カード自体(Visa)はEMIライセンスによる制約を受けるが、その基盤となるオンチェーンアカウントのセキュリティ責任の所在は、現行の枠組みでは明確ではない。
EU側のコンプライアンス境界について知りたい読者は、当サイトのEUコンプライアンスガイドを参照してほしい。簡単に言えば、MiCARの下で発行元は決済プロセスに対する明確な義務を負うが、「ユーザーがセルフカストディするオンチェーン資金が攻撃を受けた」というシナリオについては、補償責任は現状、法的な強制よりも発行元の自主的な約束に依るところが大きい——だからこそ、Gnosisの「約束」はこれほど重要であり、同時に監視される必要があるのだ。
今後注目すべき重要な節目
- 被害額の開示:Gnosisが1週間以内に具体的な数字を示すかどうか。開示が遅れるほど、警戒すべき度合いは高まる。
- 補償の仕組み:原資産で補償するのか、GNOトークンで補償するのか。分割か一括か。これがユーザーが実際に取り戻せる額を左右する。
- 事後監査:第三者のセキュリティ会社に報告書の作成を委託し、root causeを公開するかどうか。
- EU規制当局の反応:EMI規制当局が今回の事件について書簡や照会を行うかどうか——これは同種の製品にとっての方向性を示す指標となる。
編集部からの提案
- Gnosis Payの既存ユーザー:補償の詳細が公表されるまでは、直近の消費に必要な額を超えるオンチェーンウォレット内の残高を移すこと、また不要なコントラクト承認(approval)を確認・取り消すことを勧める。「全額補償を約束している」からといって高い残高を維持し続けるべきではない。
- OneKey CardやLedger Crypto Lifeなどオンチェーン型カードの保有者:今回の事件は直接波及しないが、コントラクト承認を見直す良い機会だ。
- カストディ型USDTカード利用者:特に何もする必要はない。セルフカストディとカストディのどちらを選ぶか悩んでいる場合は、2026年おすすめカードTOP5でアーキテクチャの異なるカード同士の得失を比較してほしい。
- これからGnosis Payに新規申し込みを予定しているユーザー:30日ほど様子を見て、補償の実行と監査報告を待ってから判断することを勧める。
一言で言えば、オンチェーンカードは「安全性」を売り文句に掲げているが、安全性とはスローガンではなく、継続的に証明され続けなければならないプロセスである。補償を約束することは良いことだが、実際に補償を実行することこそが答えなのだ。