Gnosis Pay, une plateforme de paiement crypto, fait face à une exploitation liée à son module de délai. La vulnérabilité a permis aux attaquants de contourner un verrouillage temporel intégré, détournant des fonds des utilisateurs. Le co-fondateur Martin Köppelmann a promis d'indemniser les utilisateurs concernés tandis que l'équipe se précipite pour limiter les dégâts.
Comment l'exploitation a fonctionné
Le module de délai est censé suspendre les transactions pendant une période définie, donnant aux utilisateurs une chance d'annuler une activité suspecte. Mais les attaquants ont trouvé un moyen de contourner cette suspension, vidant les portefeuilles avant l'expiration du délai. L'entreprise n'a pas divulgué le nombre exact de victimes ni le montant total volé, mais Köppelmann a qualifié la situation de « sérieuse » dans un message interne.
L'infrastructure de Gnosis Pay repose sur des contrats intelligents qui imposent des délais de transaction. Cette conception offre aux utilisateurs une fenêtre pour inverser un transfert s'ils remarquent quelque chose d'anormal. L'exploitation a neutralisé complètement cette fenêtre, rendant impossible l'arrêt du vol en temps réel.
L'engagement de Köppelmann
Martin Köppelmann a déclaré que l'entreprise rembourserait chaque utilisateur ayant perdu de l'argent à cause de l'exploitation. « Nous allons réparer cela », a-t-il écrit, selon des messages partagés par l'entreprise. Il n'a pas donné de calendrier pour les paiements mais a souligné que le remboursement provient des propres fonds de Gnosis Pay, et non des dépôts des utilisateurs.
Cet engagement est notable dans un espace où les victimes doivent souvent attendre des mois ou ne récupèrent jamais leur argent. Köppelmann a déclaré que la priorité est d'aider d'abord les utilisateurs concernés, puis d'enquêter sur la façon dont l'exploitation s'est produite.
Efforts de confinement
L'équipe de Gnosis Pay a agi rapidement après avoir découvert la brèche. Ils ont suspendu le module de délai et verrouillé les contrats associés. L'entreprise a déclaré qu'aucun fonds supplémentaire n'a été drainé depuis l'exploitation initiale. Des chercheurs en sécurité audite le code pour combler la faille.
Les utilisateurs qui ont encore des fonds sur la plateforme sont invités à les retirer manuellement pendant que le module reste hors ligne. L'équipe a déclaré qu'elle annoncera un correctif une fois les tests terminés, mais n'a pas fixé de date pour la restauration de la fonction de délai.
L'exploitation survient quelques mois seulement après le lancement de la version bêta de Gnosis Pay, qui visait à faire le pont entre les cartes de paiement traditionnelles et les portefeuilles crypto. La plateforme avait présenté le module de délai comme un filet de sécurité. Aujourd'hui, ce filet de sécurité est devenu un point d'entrée pour les attaquants.
Köppelmann a déclaré que l'entreprise partagera un bilan complet après la fin de la crise immédiate. Des questions subsistent quant à la façon dont cette négligence a échappé aux examens internes et si le remboursement couvrira toutes les pertes indirectes, comme les transactions manquées ou les frais.
