日本語 · 中文 · English

Gnosis Payがハッキング被害、全額補償を約束——しかし懸念すべきはこの1枚だけではない

2026-06-02

Gnosisの共同創業者は、Gnosis Payがexploit(攻撃)を受けたことを認め、ユーザーの損失を全額(100%)補償すると公に約束した。CriptoNoticiasの報道によると、本稿執筆時点でGnosis側は被害額を公表しておらず、補償の仕組みやスケジュールについても説明していない。Gnosis PayはGnosis Chainをベースにしたセルフカストディ型のVisaデビットカードで、「カード残高はユーザー自身がオンチェーンウォレットで保有する」という設計を売りにしている——そしてこの設計こそが、今回の事件の核心となっている。

編集部の見解:オンチェーンカードの「スマートコントラクト層」リスクが露呈

まず結論から言おう。今回被害を受けたのは中央集権型のカストディカードではなく、「安全性」をスマートコントラクトとオンチェーンアカウントの上に築いた製品だ。 この件がUSDTカード利用者に与える示唆は、「またカードがハッキングされた」という表面的な話よりもはるかに大きい。

Gnosis Payの中核となる訴求ポイントは「あなたの資金はあなた自身のSafeウォレットにあり、発行元は触れない」というものだ。理論上はカストディ型の方式より安全なはずだが、その代償として攻撃対象が「発行元のサーバー」から「スマートコントラクト+あなたのウォレットの承認(approval)」へと移る。ひとたびコントラクトや承認ロジックにexploitが発生すれば、セルフカストディの利点は一瞬で弱点に転じる。

どのユーザーがすぐに注目すべきか?

7日/30日/90日の見通し:7日以内にGnosisが被害額と補償の詳細を公表するかを注視すべきだ。30日以内が補償実行のカギとなる時期であり(「補償を約束する」ことと「実際に補償された」ことの間には、歴史的に見て軽視されがちなギャップがある)。90日以内には、Gnosis Payが事後の監査報告を公表するかどうかを観察すべきだろう。

過去事例との比較:補償の約束 ≠ 実際の補償

今回の件を2つの過去事例と並べてみると、より輪郭がはっきりする。

2023年3月、USDCはシリコンバレー銀行のリスクを受けて一時0.87付近までペッグが外れたが、当時Circleは迅速に「全額償還」を約束し、銀行問題が沈静化した後にそれを実行した——これは準備資産の透明性と仕組みが明確な約束だった。一方、今回のGnosisの約束は金額や仕組みの開示を欠いている点が最大の違いだ。ある企業が「全損失を補償する」と言いながら、どれだけの額を、どの資金で、いつ支払うのかを示さない場合、その約束の信頼性は実行によってしか検証できない。

もう一つの比較対象は、2024年に複数のDeFiプロトコルが攻撃を受けた後の「ガバナンス金庫による補償」の事例だ——そのうちかなりの割合が最終的に部分補償にとどまったり、原資産ではなくトークンでの補償になったりした。共通点は、いずれもオンチェーン製品であり、公に補償を約束している点だ。相違点は、Gnosis Payが現実世界の決済(Visaネットワーク)に直接紐づいており、ユーザー層には日常の消費用カードとしてこれを使う非DeFiネイティブなユーザーが多数含まれることだ。彼らの「オンチェーンリスク」に対する許容度は、DeFiプレイヤーよりもはるかに低い。

規制・コンプライアンスの視点:EUの境界線が締まりつつある

Gnosis Payは主に欧州市場を対象としており、MiCARおよびEMI(電子マネー機関)の規制枠組みの下で運営されている。今回のような事案は、規制上最も敏感な位置を突いている。セルフカストディ資金と規制対象の決済ネットワークが混在するハイブリッド構造は、現時点でEU内ではルールがまだ完全には明確化されていないグレーゾーンにある。 カード自体(Visa)はEMIライセンスによる制約を受けるが、その基盤となるオンチェーンアカウントのセキュリティ責任の所在は、現行の枠組みでは明確ではない。

EU側のコンプライアンス境界について知りたい読者は、当サイトのEUコンプライアンスガイドを参照してほしい。簡単に言えば、MiCARの下で発行元は決済プロセスに対する明確な義務を負うが、「ユーザーがセルフカストディするオンチェーン資金が攻撃を受けた」というシナリオについては、補償責任は現状、法的な強制よりも発行元の自主的な約束に依るところが大きい——だからこそ、Gnosisの「約束」はこれほど重要であり、同時に監視される必要があるのだ。

今後注目すべき重要な節目

編集部からの提案

一言で言えば、オンチェーンカードは「安全性」を売り文句に掲げているが、安全性とはスローガンではなく、継続的に証明され続けなければならないプロセスである。補償を約束することは良いことだが、実際に補償を実行することこそが答えなのだ。