한국어 · 中文 · English

Gravity Bridge 해킹 540만 달러: 크로스체인 브릿지 리스크와 당신의 USDT 카드

2026-05-31

보안 연구자들에 따르면 Cosmos 기반 크로스체인 브릿지 Gravity Bridge가 개인키 유출로 추정되는 방식으로 약 540만 달러를 도난당했다. The Block 보도에 따르면, 공격자는 USDC, ETH, Tether(USDT), PAYG 토큰을 탈취했으며 이 중 일부는 이미 ChangeNow와 Binance를 통해 세탁했다. 연구자들은 이를 스마트 컨트랙트 로직 취약점이 아닌 “키 유출” 유형 사건으로 분류했다. 즉 문제는 컨트랙트 코드가 뚫린 것이 아니라 브릿지 자산을 통제하는 키 자체에 있었다는 뜻이다.

USDT 카드 이용자에게: 잔액은 안전하지만 이동 경로는 주시해야

먼저 결론부터 말하면, MPCard 같은 커스터디형 U카드 계정이나 Bybit Card와 연동된 거래소 계정에 USDT를 보관하고 있다면 이번 사건은 잔액에 직접적인 영향을 주지 않는다. Gravity Bridge는 Cosmos 생태계와 이더리움을 연결하는 자산 브릿지이며, 도난당한 것은 브릿지 컨트랙트에 잠긴 유동성 자산이지 특정 카드 이용자의 개인 지갑이 아니다.

다만 U카드 이용자가 기억해둘 만한 간접적인 신호가 두 가지 있다.

7일 이내: 거래소는 대개 추적 가능한 도난 주소를 동결하며, 일반 이용자의 입출금에는 사실상 영향이 없다. 30일 이내: 관련 주소 클러스터에 대한 온체인 태깅이 확산될 수 있다. 90일 이내: 자산이 이미 세탁되어 정상 유통망에 진입했다면 영향은 대체로 사라진다. 단, 규제 당국이 개입해 거래소에 추적을 요구하는 경우는 예외다. 커스터디형 U카드가 입금 리스크 관리를 어떻게 처리하는지 궁금하다면 MPCard 리뷰를 먼저 읽어보길 권한다.

과거 사례 비교: 2022년 크로스체인 브릿지의 해와 어디가 비슷하고 어디가 다른가

크로스체인 브릿지 해킹은 새로운 일이 아니다. 2022년 Ronin 브릿지(6억 2,500만 달러), Wormhole(3억 2,000만 달러), Nomad(1억 9,000만 달러) 3대 사건은 “브릿지가 DeFi의 최대 단일 취약점”이라는 것을 업계 상식으로 만들었다. 이번 Gravity Bridge 사건은 540만 달러 규모로 훨씬 작지만, 성격은 Ronin과 매우 유사하다. 컨트랙트 로직이 우회된 것이 아니라 개인키/검증자 키가 장악당한 것이다.

공통점: 공격 대상은 모두 “누가 브릿지의 멀티시그/검증 키를 쥐고 있는가”라는 거버넌스 취약점이며, 코드 감사로는 키 관리 문제를 막을 수 없다.

차이점: 2022년의 공격들은 크로스체인 브릿지 TVL이 정점이던 시기, 규제가 거의 부재한 환경에서 발생했다. 2026년 현재는 주요 거래소들이 이미 성숙한 온체인 분석 컴플라이언스 프로세스를 구축해, 공격자가 USDT를 Binance로 세탁할 수 있는 창구가 3년 전보다 훨씬 좁아졌다. Tether 자체도 관련 주소를 동결할 수 있는 권한을 보유하고 있으며, 과거 동결 기록은 Tether 투명성 페이지에서 확인할 수 있다. 이것이 바로 “도난 후 회수 가능 여부”에서 USDT와 탈중앙화 스테이블코인 간의 핵심적인 차이다.

컴플라이언스 관점: 브릿지는 어느 국가의 규제도 받지 않지만, 출금 창구는 규제를 받는다

크로스체인 브릿지 자체는 명확한 법적 회색지대에 있다. 주체가 없고, 라이선스를 신청하지 않으며, 단일 관할권의 직접 규제를 받지 않는다. 실제로 규제 대상이 되는 것은 출금 창구인 거래소발급사다. 도난당한 USDT가 라이선스를 보유한 거래소로 유입되는 순간, AML/CTF 규정이 발동된다.

규제 관할권에서 카드를 사용하는 독자라면 현지 프레임워크를 참고해 리스크 관리 로직을 이해하길 권한다. EU 이용자는 EU MiCA 컴플라이언스 가이드, 홍콩 이용자는 홍콩 컴플라이언스 가이드, 싱가포르 이용자는 싱가포르 컴플라이언스 가이드를 참고할 수 있다. 핵심 경계선은 다음과 같다: 정상적인 출처의 USDT를 보유하고 사용하는 것은 완전히 합법이지만, 도난 주소로 추적되는 자산을 수령하면 동결 및 재심사 대상이 될 수 있다. 이 원칙은 모든 라이선스 관할권에서 동일하게 적용된다.

앞으로 주시할 만한 몇 가지 포인트

  1. 도난 주소가 Tether에 의해 동결되는지 여부: Tether가 관련 USDT 주소에 동결 조치를 취하는지 확인해야 한다. 이는 대개 사건 발생 후 며칠 내에 이뤄진다.
  2. Binance / ChangeNow의 공식 대응: 거래소가 관련 입금을 동결하고 추적에 협조하는지 여부.
  3. Gravity Bridge 팀의 사후 보고서: 키 유출 경로가 확인되는지, 브릿지 내 유동성 공급자에 대한 보상 계획이 있는지.
  4. Cosmos 생태계 전반의 브릿지 점검 촉발 여부: 이런 사건은 종종 동일 생태계 내 다른 브릿지에 대한 긴급 보안 재점검으로 이어진다.

편집 제언

크로스체인 브릿지 사고가 주는 진짜 교훈은 “USDT는 안전하지 않다”가 아니라 “USDT가 어느 경로에 머무는 것이 가장 위험한가”이다. 리스크 관리 규칙을 스스로 통제할 수 있는 곳에 자산을 두는 것, 이것이 이번 540만 달러 사건이 모든 U카드 이용자에게 무료로 준 교훈이다.