Português · 中文 · English

Gravity Bridge sofre furto de US$5,4 milhões: qual é a distância entre o risco das pontes cross-chain e seu cartão USDT?

2026-05-31

Pesquisadores de segurança afirmam que a Gravity Bridge, ponte cross-chain baseada em Cosmos, teria sido drenada em cerca de US$5,4 milhões por suposto vazamento de chave privada. Segundo reportagem do The Block, os atacantes retiraram USDC, ETH, Tether (USDT) e tokens PAYG, e já lavaram parte desses valores via ChangeNow e Binance. Os pesquisadores classificaram o incidente como um caso de “comprometimento de chave”, e não uma falha na lógica do contrato inteligente — ou seja, o problema está na própria chave que controla os ativos da ponte, não no código do contrato sendo violado.

Para usuários de cartão USDT: seu saldo está seguro, mas o circuito de movimentação merece atenção

Vamos direto à conclusão: se o seu USDT está em uma conta de cartão U custodial como MPCard, ou numa conta de exchange vinculada ao Bybit Card, este incidente não afeta diretamente o seu saldo. A Gravity Bridge é uma ponte de ativos que conecta o ecossistema Cosmos ao Ethereum, e o que foi roubado são ativos de liquidez travados no contrato da ponte — não a carteira pessoal de nenhum usuário de cartão.

Mas há dois sinais indiretos que vale a pena guardar se você usa cartão U:

Em 7 dias: as exchanges costumam congelar os endereços rastreáveis ligados ao roubo, e o usuário comum praticamente não percebe nada em depósitos e saques normais. Em 30 dias: é possível que surjam marcações on-chain mais amplas para o cluster de endereços envolvidos. Em 90 dias: se os ativos já tiverem sido “lavados” e reintegrados à circulação normal, o impacto tende a se dissipar — a menos que reguladores exijam rastreamento retroativo por parte das exchanges. Para entender como um cartão U custodial trata o controle de risco em depósitos, vale ler a avaliação do MPCard.

Comparação histórica: em que se parece e em que difere do “ano das pontes cross-chain” de 2022

Roubos em pontes cross-chain não são novidade. Os três grandes casos de 2022 — Ronin Bridge (US$625 milhões), Wormhole (US$320 milhões) e Nomad (US$190 milhões) — consolidaram na indústria a ideia de que “a ponte é o maior ponto único de falha do DeFi”. O caso da Gravity Bridge, com US$5,4 milhões, é bem menor em escala, mas a natureza é muito parecida com a do Ronin — em ambos os casos, o que foi comprometido foi a chave multisig/de validador, e não uma falha na lógica do contrato contornada.

Semelhanças: em ambos os casos, a superfície de ataque é o ponto fraco de governança de “quem detém a chave multisig/de validador da ponte” — auditoria de código não resolve problemas de gestão de chaves.

Diferenças: os ataques de 2022 ocorreram no pico do TVL das pontes cross-chain, num ambiente com regulação praticamente ausente; hoje, em 2026, as principais exchanges já têm processos maduros de compliance com análise on-chain, e a janela para lavar USDT através da Binance é bem mais estreita do que era há três anos. A própria Tether mantém a capacidade de congelar endereços envolvidos em incidentes — é possível consultar seu histórico de congelamentos na página de transparência da Tether. É justamente essa a diferença-chave entre o USDT e stablecoins descentralizadas quando o assunto é “recuperação após roubo”.

Visão de compliance: a ponte não pertence à jurisdição de nenhum país, mas a saída de fundos, sim

A ponte cross-chain em si opera numa zona cinzenta jurídica clara — não tem entidade legal definida, não solicita licença, não está diretamente sujeita à regulação de nenhuma jurisdição específica. Quem de fato está sujeito à regulação são as exchanges por onde os fundos saem e os emissores de cartão. Assim que o USDT roubado entra numa exchange licenciada, as regras de AML/CTF são acionadas.

Para leitores que usam cartão em jurisdições reguladas, vale entender a lógica de controle de risco à luz do marco local: usuários na União Europeia podem consultar o guia de compliance da UE, usuários em Hong Kong o guia de compliance de Hong Kong, e usuários em Singapura o guia de compliance de Singapura. O limite central é este: manter e gastar USDT de origem legítima é totalmente legal; receber ativos rastreáveis a endereços envolvidos em roubo pode resultar em congelamento e revisão — essa linha vale em todas as jurisdições licenciadas.

Pontos a acompanhar daqui para frente

  1. Se os endereços envolvidos no roubo serão congelados pela Tether: fique atento a se a Tether executa o congelamento dos endereços de USDT envolvidos, o que costuma acontecer poucos dias após o incidente.
  2. Resposta oficial de Binance / ChangeNow: se as exchanges vão congelar os depósitos relacionados e cooperar com o rastreamento.
  3. Relatório pós-incidente da equipe da Gravity Bridge: se vão confirmar o caminho do vazamento de chave e se planejam compensar os provedores de liquidez da ponte.
  4. Se vai desencadear uma revisão mais ampla das pontes do ecossistema Cosmos: incidentes semelhantes costumam provocar revisões de segurança emergenciais em outras pontes do mesmo ecossistema.

Recomendação editorial

A verdadeira lição dos incidentes com pontes cross-chain nunca foi “o USDT não é seguro”, e sim “em qual trecho do circuito o USDT fica mais vulnerável”. Manter os ativos onde você controla as regras de risco — essa é a lição gratuita que esses US$5,4 milhões deixam para todo usuário de cartão U.