Gnosis Pay, פלטפורמת תשלומי קריפטו, מתמודדת עם ניצול הקשור למודול העיכוב שלה. הפגיעות אפשרה לתוקפים לעקוף נעילת זמן מובנית ולשאוב כספים ממשתמשים. מייסד שותף מרטין קופלמן הבטיח לפצות את המשתמשים שנפגעו, בעוד הצוות רץ לבלום נזק נוסף.
כיצד פעל הניצול
מודול העיכוב אמור להחזיק עסקאות לפרק זמן קבוע, ולתת למשתמשים הזדמנות לבטל פעילות חשודה. אך תוקפים מצאו דרך לעקוף את ההחזקה הזו, ורוקנו ארנקים לפני שפג תוקף העיכוב. החברה לא חשפה את המספר המדויק של הקורבנות או את הסכום הכולל שנגנב, אך קופלמן כינה את המצב "חמור" בהודעה פנימית.
התשתית של Gnosis Pay מסתמכת על חוזים חכמים שאוכפים עיכובי עסקאות. עיצוב זה נותן למשתמשים חלון הזדמנויות להפוך העברה אם הם מבחינים במשהו לא תקין. הניצול נטרל לחלוטין את החלון הזה, והפך את עצירת הגניבה בזמן אמת לבלתי אפשרית.
התחייבותו של קופלמן
מרטין קופלמן אמר שהחברה תפצה כל משתמש שאיבד כסף דרך הניצול. "אנחנו הולכים לתקן את זה," כתב, לפי הודעות ששותפו על ידי החברה. הוא לא נתן ציר זמן לתשלומים, אבל הדגיש שהפיצוי מגיע מכספי Gnosis Pay עצמה, לא מפיקדונות משתמשים.
ההתחייבות בולטת בתחום שבו קורבנות לעתים קרובות צריכים לחכות חודשים או אף פעם לא מקבלים את כספם בחזרה. קופלמן אמר שהעדיפות היא לסייע למשתמשים שנפגעו תחילה, ואז לחקור כיצד התרחש הניצול.
מאמצי בלימה
הצוות של Gnosis Pay פעל במהירות לאחר גילוי הפרצה. הם עצרו את מודול העיכוב ונעלו חוזים קשורים. החברה אמרה כי לא נשאבו כספים נוספים מאז הניצול הראשוני. חוקרי אבטחה בודקים את הקוד כדי לסגור את הפרצה.
למשתמשים שעדיין יש להם כספים בפלטפורמה מומלץ למשוך אותם ידנית בזמן שהמודול נותר לא פעיל. הצוות אמר שיודיע על תיקון לאחר השלמת הבדיקות, אך לא קבע תאריך לשחזור תכונת העיכוב.
הניצול מגיע חודשים ספורים לאחר ש-Gnosis Pay השיקה את גרסת הבטא שלה, במטרה לגשר בין כרטיסי תשלום מסורתיים לארנקי קריפטו. הפלטפורמה שיווקה את מודול העיכוב כרשת ביטחון. כעת רשת הביטחון הזו הפכה לנקודת כניסה לתוקפים.
קופלמן אמר שהחברה תשתף ניתוח שלאחר המוות (post-mortem) לאחר שהמשבר המיידי יסתיים. נותרו שאלות כיצד הפיקוח חמק מביקורות פנימיות והאם הפיצוי יכסה את כל ההפסדים העקיפים, כמו עסקאות שלא בוצעו או עמלות.
