По данным исследователей безопасности, кроссчейн-мост на базе Cosmos под названием Gravity Bridge предположительно был взломан из-за утечки приватных ключей примерно на $5,4 млн. Согласно материалу The Block, злоумышленники вывели USDC, ETH, Tether (USDT), а также токены PAYG, и уже отмыли часть средств через ChangeNow и Binance. Исследователи классифицируют это как инцидент типа «утечка ключей», а не как уязвимость в логике смарт-контракта — то есть проблема была в самих ключах, контролирующих активы моста, а не во взломе кода контракта.
Для держателей USDT-карт: ваш баланс в безопасности, но обратите внимание на маршрут движения средств
Начнём с вывода: если ваши USDT хранятся на кастодиальном счёте U-карты вроде MPCard или на бирже, связанной с Bybit Card, этот инцидент не затронет напрямую ваш баланс. Gravity Bridge — это мост, связывающий экосистему Cosmos с Ethereum, украдены были ликвидные активы, заблокированные в контракте моста, а не личные кошельки держателей той или иной карты.
Тем не менее держателям U-карт стоит запомнить два косвенных сигнала:
- Риск маршрута пополнения: многие пользователи при пополнении U-карты сначала переводят активы в более дешёвую сеть через кроссчейн, а затем выводят их. Если вы пользовались малоизвестными мостами, включая Gravity Bridge, для перемещения USDT, этот инцидент напоминает: оставлять средства в промежуточном состоянии моста на длительное время — рискованное действие. До и после пополнения старайтесь использовать основную сеть или внутренние переводы внутри биржи.
- Риск, связанный с отмыванием через биржи: тот факт, что злоумышленники отмывали средства через основную площадку Binance, связанную с Binance Card, означает, что эти «загрязнённые» USDT могут попасть в списки комплаенс-проверок бирж. В ближайшее время крупные поступления USDT неясного происхождения с большей вероятностью вызовут проверку риск-контролем.
В течение 7 дней: биржи обычно замораживают отслеживаемые адреса, связанные с кражей, обычные пользователи практически не почувствуют разницы при пополнении и выводе. В течение 30 дней: возможно распространение он-чейн меток на кластеры адресов, связанных с инцидентом. В течение 90 дней: если активы уже «отмыты» и вошли в обычный оборот, влияние в основном рассеивается — если только регулятор не потребует от бирж провести ретроспективное расследование. Чтобы узнать, как кастодиальные U-карты обрабатывают риск-контроль при пополнении, можно для начала прочитать обзор MPCard.
Историческая параллель: что общего и в чём отличие от «года кроссчейн-мостов» 2022 года
Взломы кроссчейн-мостов — не новость. В 2022 году три крупных инцидента — мост Ronin ($625 млн), Wormhole ($320 млн) и Nomad ($190 млн) — закрепили в отрасли консенсус: мосты — крупнейшая единая точка отказа в DeFi. Масштаб нынешнего взлома Gravity Bridge на $5,4 млн значительно меньше, но по своей природе он очень похож на Ronin — в обоих случаях были скомпрометированы приватные ключи/ключи валидаторов, а не обойдена логика контракта.
Сходство: вектор атаки в обоих случаях — «кто держит мультиподписные ключи/ключи валидаторов моста», это слабое место в управлении, которое аудит кода не спасает.
Различие: атаки 2022 года произошли на пике TVL кроссчейн-мостов при почти полном отсутствии регулирования; сегодня, в 2026 году, крупные биржи уже выстроили зрелые процедуры комплаенс на основе он-чейн аналитики, и окно для отмывания USDT через Binance для злоумышленников значительно уже, чем три года назад. Сам Tether сохраняет возможность замораживать адреса, связанные с инцидентами, — историю таких заморозок можно посмотреть на странице прозрачности Tether. Это как раз ключевое отличие USDT от децентрализованных стейблкоинов в вопросе «можно ли вернуть похищенное».
Взгляд с точки зрения комплаенс: мост не подпадает под юрисдикцию ни одной страны, но точка вывода средств — подпадает
Сам кроссчейн-мост находится в явной юридической серой зоне — у него нет юридического лица, он не подаёт заявки на лицензию, не подпадает напрямую под регулирование ни одной отдельной юрисдикции. По-настоящему регулируемые субъекты — это биржи, через которые выводятся средства, и эмитенты карт. Как только украденные USDT попадают на лицензированную биржу, активируются правила AML/CTF.
Читателям, использующим карты в регулируемых юрисдикциях, рекомендуем соотносить логику риск-контроля с локальной нормативной базой: пользователям из ЕС — руководство по комплаенс ЕС, пользователям из Гонконга — руководство по комплаенс Гонконга, пользователям из Сингапура — руководство по комплаенс Сингапура. Ключевая граница такова: владение и трата USDT нормального происхождения полностью законны; получение активов, отслеживаемых до украденных адресов, может привести к заморозке и проверке — это правило действует во всех лицензированных юрисдикциях.
На что обратить внимание в ближайшее время
- Заморозит ли Tether украденные адреса: следите, применит ли Tether заморозку к адресам с задействованными USDT — обычно это происходит в течение нескольких дней после инцидента.
- Официальная реакция Binance / ChangeNow: заморозят ли биржи связанные поступления, будут ли сотрудничать в расследовании.
- Отчёт команды Gravity Bridge по итогам инцидента: подтвердят ли путь утечки ключей, планируется ли компенсация поставщикам ликвидности моста.
- Вызовет ли это более широкую проверку мостов в экосистеме Cosmos: подобные инциденты часто провоцируют экстренные проверки безопасности других мостов той же экосистемы.
Рекомендации редакции
- Держателям кастодиальных U-карт (таких как MPCard, Bybit Card), чьи активы хранятся на счёте карты: никаких действий не требуется — ваш баланс не связан с этим инцидентом.
- Пользователям, привыкшим перемещать USDT через малоизвестные кроссчейн-мосты перед пополнением: временно откажитесь от использования Gravity Bridge и неаудированных мостов той же экосистемы, при пополнении отдавайте приоритет основной сети или внутренним переводам внутри биржи, избегая удержания средств в промежуточном состоянии моста.
- Пользователям, планирующим в ближайшее время крупное пополнение USDT: убедитесь, что происхождение средств прозрачно, избегайте получения переводов, происхождение которых нельзя объяснить, чтобы не спровоцировать проверку риск-контролем.
- Чтобы выбрать U-карту с прозрачным риск-контролем пополнений и простым маршрутом движения средств, можно сравнить Топ-5 U-карт 2026 и U-карты с самой низкой комиссией, а затем вернуться к обзору MPCard, чтобы изучить конкретное описание маршрута пополнения.
Настоящий урок из инцидентов с кроссчейн-мостами никогда не сводился к «USDT небезопасен» — он в том, «на каком именно участке маршрута USDT подвергается наибольшему риску». Держите активы там, где вы сами контролируете правила риск-менеджмента, — вот бесплатный урок, который эти $5,4 млн преподносят каждому держателю U-карты.