Polski · 中文 · English

Gravity Bridge okradziony na 5,4 mln USD: jak blisko Twojej karty USDT jest ryzyko mostów cross-chain

2026-05-31

Badacze bezpieczeństwa twierdzą, że oparty na Cosmos most cross-chain Gravity Bridge padł ofiarą kradzieży na kwotę ok. 5,4 mln USD, prawdopodobnie w wyniku wycieku klucza prywatnego. Według raportu The Block, napastnicy wyprowadzili USDC, ETH, Tether (USDT) oraz tokeny PAYG, a część z nich wyprali już przez ChangeNow i Binance. Badacze klasyfikują to zdarzenie jako typ „wycieku klucza”, a nie lukę w logice smart kontraktu — oznacza to, że problem tkwił w samych kluczach kontrolujących aktywa mostu, a nie w złamaniu kodu kontraktu.

Dla użytkowników kart USDT: Twoje saldo jest bezpieczne, ale warto śledzić łańcuch obiegu

Zacznijmy od wniosku: jeśli Twoje USDT znajduje się na koncie karty typu custodial, np. MPCard, lub na powiązanym z giełdą koncie Bybit Card, to zdarzenie nie wpływa bezpośrednio na Twoje saldo. Gravity Bridge to most łączący ekosystem Cosmos z Ethereum — skradzione zostały aktywa płynnościowe zablokowane w kontrakcie mostu, a nie środki z osobistych portfeli konkretnych użytkowników kart.

Są jednak dwa pośrednie sygnały, które warto zapamiętać jako posiadacz karty USDT:

W ciągu 7 dni: giełdy zwykle blokują możliwe do prześledzenia skradzione adresy, zwykli użytkownicy praktycznie nie odczują wpływu na wpłaty i wypłaty. W ciągu 30 dni: możliwe jest rozszerzenie oznaczeń on-chain dla klastrów adresów powiązanych ze sprawą. W ciągu 90 dni: jeśli aktywa zostaną już „wyprane” i wrócą do normalnego obiegu, wpływ zasadniczo zniknie — chyba że regulator zażąda od giełd retrospektywnego śledztwa. Aby dowiedzieć się, jak custodialne karty USDT zarządzają kontrolą ryzyka przy wpłatach, warto najpierw przeczytać recenzję MPCard.

Porównanie historyczne: co łączy, a co różni ten przypadek od „roku mostów cross-chain” 2022

Kradzieże z mostów cross-chain nie są niczym nowym. Trzy głośne przypadki z 2022 roku — Ronin Bridge (625 mln USD), Wormhole (320 mln USD) i Nomad (190 mln USD) — utrwaliły w branży przekonanie, że mosty to największy pojedynczy punkt awarii DeFi. Tegoroczna kradzież z Gravity Bridge na kwotę 5,4 mln USD jest znacznie mniejsza skalą, ale charakterem bardzo przypomina przypadek Ronin — w obu przypadkach chodziło o przejęcie kluczy prywatnych/walidatorów, a nie o obejście logiki kontraktu.

Podobieństwo: powierzchnią ataku jest zawsze pytanie „kto posiada klucze multisig/walidatora mostu” — to słaby punkt zarządzania, którego audyt kodu nie jest w stanie naprawić.

Różnica: ataki z 2022 roku miały miejsce w szczytowym momencie TVL mostów cross-chain, przy niemal całkowitym braku nadzoru regulacyjnego; dziś, w 2026 roku, główne giełdy wdrożyły dojrzałe procesy analizy on-chain i zgodności z przepisami, a okno na wypranie USDT przez Binance jest znacznie węższe niż trzy lata temu. Sam Tether zachowuje zdolność do blokowania adresów powiązanych ze sprawami przestępczymi — historię takich blokad można sprawdzić na stronie przejrzystości Tether. To właśnie kluczowa różnica między USDT a zdecentralizowanymi stablecoinami w kwestii możliwości odzyskania środków po kradzieży.

Perspektywa zgodności: most nie podlega żadnej jurysdykcji, ale punkt wypłaty — już tak

Sam most cross-chain znajduje się w wyraźnej szarej strefie prawnej — nie ma podmiotu prawnego, nie występuje o licencje, nie podlega bezpośrednio nadzorowi żadnej pojedynczej jurysdykcji. Faktycznie regulowane są giełdy, przez które następuje wypłata, oraz wystawcy kart. Gdy skradzione USDT trafi na licencjonowaną giełdę, aktywują się zasady AML/CTF.

Czytelnikom korzystającym z kart w regulowanych jurysdykcjach polecamy zrozumienie logiki kontroli ryzyka w kontekście lokalnych ram prawnych: użytkownicy z UE mogą sięgnąć po przewodnik zgodności UE MiCA, użytkownicy z Hongkongu — po przewodnik zgodności Hongkong, a użytkownicy z Singapuru — po przewodnik zgodności Singapur. Kluczowa granica jest taka: posiadanie i wydawanie USDT o normalnym pochodzeniu jest w pełni legalne; otrzymywanie aktywów, które da się prześledzić do skradzionych adresów, może skutkować zablokowaniem i dodatkową weryfikacją — ta zasada obowiązuje we wszystkich licencjonowanych jurysdykcjach.

Kilka punktów wartych obserwacji w najbliższym czasie

  1. Czy Tether zablokuje skradzione adresy: warto śledzić, czy Tether wykona blokadę adresów USDT powiązanych ze sprawą — zwykle dzieje się to w ciągu kilku dni od zdarzenia.
  2. Oficjalna reakcja Binance / ChangeNow: czy giełdy zablokują powiązane wpłaty i czy będą współpracować przy śledztwie.
  3. Raport zespołu Gravity Bridge po zdarzeniu: czy potwierdzi ścieżkę wycieku klucza i czy zaplanuje rekompensatę dla dostawców płynności mostu.
  4. Czy zdarzenie wywoła szerszy przegląd bezpieczeństwa mostów w ekosystemie Cosmos: podobne incydenty często prowadzą do awaryjnych kontroli bezpieczeństwa innych mostów w tym samym ekosystemie.

Rekomendacje redakcji

Prawdziwą lekcją z incydentów na mostach cross-chain nigdy nie jest to, że „USDT jest niebezpieczny”, lecz to, że „w którym miejscu łańcucha obiegu USDT jest najbardziej narażony”. Trzymaj aktywa tam, gdzie sam kontrolujesz zasady zarządzania ryzykiem — to darmowa lekcja, jaką te 5,4 mln USD dają każdemu użytkownikowi karty USDT.