Gnosis Pay, en kryptobetalingsplatform, håndterer en udnyttelse af sit forsinkelsesmodul. Sårbarheden gjorde det muligt for angribere at omgå en indbygget tidslås og tappe midler fra brugere. Medstifter Martin Köppelmann har lovet at gøre berørte brugere hele, mens teamet kæmper for at begrænse yderligere skade.
Sådan fungerede udnyttelsen
Forsinkelsesmodulet er designet til at holde transaktioner i en fastsat periode, så brugerne får en chance for at annullere mistænkelig aktivitet. Men angribere fandt en måde at omgå denne forsinkelse og tømme wallets, før forsinkelsen udløb. Virksomheden oplyste ikke det nøjagtige antal ofre eller det samlede beløb, der blev stjålet, men Köppelmann kaldte situationen for “alvorlig” i en intern besked.
Gnosis Pays infrastruktur er afhængig af smarte kontrakter, der håndhæver transaktionsforsinkelser. Dette design giver brugerne et vindue til at tilbageføre en overførsel, hvis de opdager noget galt. Udnyttelsen neutraliserede dette vindue fuldstændigt og gjorde det umuligt at stoppe tyveriet i realtid.
Köppelmanns løfte
Martin Köppelmann sagde, at virksomheden vil godtgøre enhver bruger, der mistede penge gennem udnyttelsen. “Vi vil gøre det rigtigt,” skrev han ifølge beskeder delt af virksomheden. Han gav ikke en tidsplan for udbetalinger, men understregede, at godtgørelsen kommer fra Gnosis Pays egne midler, ikke brugerindskud.
Forpligtelsen er bemærkelsesværdig i et rum, hvor ofre ofte må vente i måneder eller aldrig får deres penge tilbage. Köppelmann sagde, at prioriteten er at hjælpe berørte brugere først, derefter undersøge hvordan udnyttelsen skete.
Inddæmningsindsats
Gnosis Pays team handlede hurtigt efter at have opdaget bruddet. De satte forsinkelsesmodulet på pause og låste relaterede kontrakter. Virksomheden sagde, at der ikke er blevet drænet flere midler siden den oprindelige udnyttelse. Sikkerhedsforskere gennemgår koden for at lukke sårbarheden.
Brugere, der stadig har midler på platformen, rådes til at hæve dem manuelt, mens modulet forbliver offline. Teamet sagde, at de vil annoncere en rettelse, når testningen er færdig, men har ikke sat en dato for genoprettelse af forsinkelsesfunktionen.
Udnyttelsen kommer kun få måneder efter, at Gnosis Pay lancerede sin beta med det formål at forbinde traditionelle betalingskort med kryptowallets. Platformen havde markedsført forsinkelsesmodulet som et sikkerhedsnet. Nu er dette sikkerhedsnet blevet et indgangspunkt for angribere.
Köppelmann sagde, at virksomheden vil dele en fuld post-mortem efter den umiddelbare krise er overstået. Spørgsmål forbliver om, hvordan tilsynet slap igennem interne reviews, og om godtgørelsen vil dække alle indirekte tab, såsom mislykkede transaktioner eller gebyrer.
