Gnosis Pay، یک پلتفرم پرداخت رمزارزی، با یک سوءاستفاده مرتبط با ماژول تاخیر خود دستوپنجه نرم میکند. این آسیبپذیری به مهاجمان اجازه داد تا یک قفل زمانی داخلی را دور بزنند و وجوه کاربران را برداشت کنند. مارتین کوپلمان، همبنیانگذار، به کاربران آسیبدیده قول جبران خسارت داده است و تیم در تلاش برای مهار خسارت بیشتر است.
نحوه عملکرد سوءاستفاده
ماژول تاخیر قرار است تراکنشها را برای مدت مشخصی نگه دارد و به کاربران فرصت لغو فعالیت مشکوک را بدهد. اما مهاجمان راهی برای دور زدن این نگهداری پیدا کردند و کیفپولها را قبل از پایان مهلت تاخیر خالی کردند. این شرکت تعداد دقیق قربانیان یا کل مبلغ سرقت شده را اعلام نکرد، اما کوپلمان در یک پیام داخلی این وضعیت را «جدی» نامید.
زیرساخت Gnosis Pay بر قراردادهای هوشمندی استوار است که تاخیرهای تراکنش را اعمال میکنند. این طراحی به کاربران فرصتی میدهد تا در صورت مشاهده مشکلی، انتقال را لغو کنند. این سوءاستفاده آن پنجره را کاملاً بیاثر کرد و توقف سرقت را در زمان واقعی غیرممکن ساخت.
قول کوپلمان
مارتین کوپلمان گفت که شرکت به هر کاربری که به دلیل این سوءاستفاده پول از دست داده است، خسارت پرداخت خواهد کرد. او در پیامهای منتشر شده توسط شرکت نوشت: «ما این را درست میکنیم». او جدول زمانی برای پرداختها اعلام نکرد اما تأکید کرد که جبران خسارت از وجوه خود Gnosis Pay تأمین میشود، نه از سپردههای کاربران.
این تعهد در فضایی قابل توجه است که قربانیان اغلب ماهها منتظر میمانند یا هرگز پول خود را پس نمیگیرند. کوپلمان گفت اولویت کمک به کاربران آسیبدیده است و سپس تحقیق درباره نحوه وقوع سوءاستفاده.
تلاشهای مهار
تیم Gnosis Pay پس از کشف نقض، سریعاً اقدام کرد. آنها ماژول تاخیر را متوقف کرده و قراردادهای مرتبط را مسدود کردند. این شرکت گفت که از زمان سوءاستفاده اولیه، وجوه بیشتری برداشت نشده است. محققان امنیتی در حال ممیزی کد برای بستن حفره هستند.
به کاربرانی که هنوز وجوهی در پلتفرم دارند توصیه میشود در حالی که ماژول آفلاین است، به صورت دستی وجوه خود را برداشت کنند. تیم گفت پس از اتمام آزمایش، راهحل را اعلام خواهد کرد، اما تاریخی برای بازگرداندن ویژگی تاخیر تعیین نکرده است.
این سوءاستفاده تنها چند ماه پس از راهاندازی نسخه بتای Gnosis Pay رخ میدهد که هدف آن پل زدن بین کارتهای پرداخت سنتی و کیفپولهای رمزارزی بود. این پلتفرم ماژول تاخیر را به عنوان یک تور ایمنی بازاریابی کرده بود. اکنون آن تور ایمنی به نقطه ورود مهاجمان تبدیل شده است.
کوپلمان گفت که شرکت پس از پایان بحران فوری، یک تحلیل کامل پس از حادثه (post-mortem) ارائه خواهد داد. هنوز سؤالاتی در مورد چگونگی عبور این نادیدهگیری از بررسیهای داخلی و اینکه آیا جبران خسارت تمام زیانهای غیرمستقیم مانند تراکنشهای از دست رفته یا کارمزدها را پوشش میدهد، باقی است.
