Pesquisadores de segurança afirmam que a Gravity Bridge, ponte cross-chain baseada em Cosmos, teria sido drenada em cerca de US$5,4 milhões por suposto vazamento de chave privada. Segundo reportagem do The Block, os atacantes retiraram USDC, ETH, Tether (USDT) e tokens PAYG, e já lavaram parte desses valores via ChangeNow e Binance. Os pesquisadores classificaram o incidente como um caso de “comprometimento de chave”, e não uma falha na lógica do contrato inteligente — ou seja, o problema está na própria chave que controla os ativos da ponte, não no código do contrato sendo violado.
Para usuários de cartão USDT: seu saldo está seguro, mas o circuito de movimentação merece atenção
Vamos direto à conclusão: se o seu USDT está em uma conta de cartão U custodial como MPCard, ou numa conta de exchange vinculada ao Bybit Card, este incidente não afeta diretamente o seu saldo. A Gravity Bridge é uma ponte de ativos que conecta o ecossistema Cosmos ao Ethereum, e o que foi roubado são ativos de liquidez travados no contrato da ponte — não a carteira pessoal de nenhum usuário de cartão.
Mas há dois sinais indiretos que vale a pena guardar se você usa cartão U:
- Risco no circuito de recarga: muitas pessoas, ao recarregar o cartão U, costumam primeiro mover ativos entre chains para uma rede mais barata antes de transferir. Se você já usou pontes cross-chain menos conhecidas, incluindo a Gravity Bridge, para movimentar USDT, este incidente serve de lembrete: deixar fundos parados por muito tempo num estado intermediário de ponte é uma ação de alto risco. Antes e depois de recarregar, prefira sempre a mainnet ou transferências internas dentro da exchange.
- Risco de associação com lavagem via exchange: o fato de os atacantes terem lavado fundos através da Binance, mesma plataforma de origem do Binance Card, significa que esse lote de USDT “contaminado” pode acabar entrando em listas de triagem de compliance das exchanges. No curto prazo, depósitos de USDT de grande valor e origem incerta tendem a acionar com mais facilidade a revisão de controle de risco.
Em 7 dias: as exchanges costumam congelar os endereços rastreáveis ligados ao roubo, e o usuário comum praticamente não percebe nada em depósitos e saques normais. Em 30 dias: é possível que surjam marcações on-chain mais amplas para o cluster de endereços envolvidos. Em 90 dias: se os ativos já tiverem sido “lavados” e reintegrados à circulação normal, o impacto tende a se dissipar — a menos que reguladores exijam rastreamento retroativo por parte das exchanges. Para entender como um cartão U custodial trata o controle de risco em depósitos, vale ler a avaliação do MPCard.
Comparação histórica: em que se parece e em que difere do “ano das pontes cross-chain” de 2022
Roubos em pontes cross-chain não são novidade. Os três grandes casos de 2022 — Ronin Bridge (US$625 milhões), Wormhole (US$320 milhões) e Nomad (US$190 milhões) — consolidaram na indústria a ideia de que “a ponte é o maior ponto único de falha do DeFi”. O caso da Gravity Bridge, com US$5,4 milhões, é bem menor em escala, mas a natureza é muito parecida com a do Ronin — em ambos os casos, o que foi comprometido foi a chave multisig/de validador, e não uma falha na lógica do contrato contornada.
Semelhanças: em ambos os casos, a superfície de ataque é o ponto fraco de governança de “quem detém a chave multisig/de validador da ponte” — auditoria de código não resolve problemas de gestão de chaves.
Diferenças: os ataques de 2022 ocorreram no pico do TVL das pontes cross-chain, num ambiente com regulação praticamente ausente; hoje, em 2026, as principais exchanges já têm processos maduros de compliance com análise on-chain, e a janela para lavar USDT através da Binance é bem mais estreita do que era há três anos. A própria Tether mantém a capacidade de congelar endereços envolvidos em incidentes — é possível consultar seu histórico de congelamentos na página de transparência da Tether. É justamente essa a diferença-chave entre o USDT e stablecoins descentralizadas quando o assunto é “recuperação após roubo”.
Visão de compliance: a ponte não pertence à jurisdição de nenhum país, mas a saída de fundos, sim
A ponte cross-chain em si opera numa zona cinzenta jurídica clara — não tem entidade legal definida, não solicita licença, não está diretamente sujeita à regulação de nenhuma jurisdição específica. Quem de fato está sujeito à regulação são as exchanges por onde os fundos saem e os emissores de cartão. Assim que o USDT roubado entra numa exchange licenciada, as regras de AML/CTF são acionadas.
Para leitores que usam cartão em jurisdições reguladas, vale entender a lógica de controle de risco à luz do marco local: usuários na União Europeia podem consultar o guia de compliance da UE, usuários em Hong Kong o guia de compliance de Hong Kong, e usuários em Singapura o guia de compliance de Singapura. O limite central é este: manter e gastar USDT de origem legítima é totalmente legal; receber ativos rastreáveis a endereços envolvidos em roubo pode resultar em congelamento e revisão — essa linha vale em todas as jurisdições licenciadas.
Pontos a acompanhar daqui para frente
- Se os endereços envolvidos no roubo serão congelados pela Tether: fique atento a se a Tether executa o congelamento dos endereços de USDT envolvidos, o que costuma acontecer poucos dias após o incidente.
- Resposta oficial de Binance / ChangeNow: se as exchanges vão congelar os depósitos relacionados e cooperar com o rastreamento.
- Relatório pós-incidente da equipe da Gravity Bridge: se vão confirmar o caminho do vazamento de chave e se planejam compensar os provedores de liquidez da ponte.
- Se vai desencadear uma revisão mais ampla das pontes do ecossistema Cosmos: incidentes semelhantes costumam provocar revisões de segurança emergenciais em outras pontes do mesmo ecossistema.
Recomendação editorial
- Usuários com cartão U custodial (como MPCard, Bybit Card) e ativos na conta do cartão: nenhuma ação é necessária — seu saldo não tem relação com este episódio.
- Usuários acostumados a movimentar USDT via pontes cross-chain menos conhecidas antes de recarregar: suspenda o uso da Gravity Bridge e de pontes não auditadas do mesmo ecossistema; priorize sempre a mainnet ou transferências internas na exchange para evitar deixar fundos parados num estado intermediário de ponte.
- Usuários com planos de depósito de grande valor em USDT no curto prazo: garanta que a origem dos fundos seja clara, evitando receber transferências de origem não comprovada, para não acionar revisão de controle de risco.
- Para escolher um cartão U com controle de risco de depósito transparente e circuito simples, vale comparar o Top 5 de cartões U em 2026 e os cartões U com menor taxa, e depois voltar à avaliação do MPCard para ver os detalhes do caminho de recarga.
A verdadeira lição dos incidentes com pontes cross-chain nunca foi “o USDT não é seguro”, e sim “em qual trecho do circuito o USDT fica mais vulnerável”. Manter os ativos onde você controla as regras de risco — essa é a lição gratuita que esses US$5,4 milhões deixam para todo usuário de cartão U.