Gnosis Pay, una plataforma de pagos cripto, está lidiando con una explotación relacionada con su módulo de retardo. La vulnerabilidad permitió a los atacantes eludir un bloqueo de tiempo incorporado, desviando fondos de los usuarios. El cofundador Martin Köppelmann ha prometido compensar a los usuarios afectados mientras el equipo corre para contener daños mayores.
Cómo funcionó la explotación
El módulo de retardo está diseñado para retener transacciones durante un período determinado, dando a los usuarios la oportunidad de cancelar actividades sospechosas. Pero los atacantes encontraron la manera de sortear esa retención, vaciando las billeteras antes de que expirara el retardo. La empresa no reveló el número exacto de víctimas ni el monto total robado, pero Köppelmann calificó la situación como "grave" en un mensaje interno.
La infraestructura de Gnosis Pay se basa en contratos inteligentes que imponen retrasos en las transacciones. Este diseño brinda a los usuarios una ventana para revertir una transferencia si detectan algo incorrecto. La explotación neutralizó esa ventana por completo, haciendo imposible detener el robo en tiempo real.
Promesa de Köppelmann
Martin Köppelmann dijo que la empresa reembolsará a cada usuario que perdió dinero a través de la explotación. "Vamos a enmendar esto", escribió, según mensajes compartidos por la empresa. No dio un cronograma para los pagos, pero subrayó que el reembolso proviene de los fondos propios de Gnosis Pay, no de los depósitos de los usuarios.
El compromiso es notable en un espacio donde las víctimas a menudo tienen que esperar meses o nunca recuperan su dinero. Köppelmann dijo que la prioridad es ayudar primero a los usuarios afectados, luego investigar cómo ocurrió la explotación.
Esfuerzos de contención
El equipo de Gnosis Pay actuó rápidamente después de descubrir la brecha. Pausaron el módulo de retardo y bloquearon los contratos relacionados. La empresa dijo que no se han desviado más fondos desde la explotación inicial. Investigadores de seguridad están auditando el código para cerrar la vulnerabilidad.
Se recomienda a los usuarios que aún tienen fondos en la plataforma que los retiren manualmente mientras el módulo permanece fuera de línea. El equipo dijo que anunciará una solución una vez que las pruebas estén completas, pero no ha fijado una fecha para restaurar la función de retardo.
La explotación ocurre apenas meses después de que Gnosis Pay lanzara su versión beta, con el objetivo de conectar tarjetas de pago tradicionales con billeteras cripto. La plataforma había comercializado el módulo de retardo como una red de seguridad. Ahora esa red de seguridad se ha convertido en un punto de entrada para los atacantes.
Köppelmann dijo que la empresa compartirá un análisis completo después de que termine la crisis inmediata. Quedan preguntas sobre cómo la supervisión pasó desapercibida en las revisiones internas y si el reembolso cubrirá todas las pérdidas indirectas, como transacciones fallidas o comisiones.
