Gnosis Pay, एक क्रिप्टो भुगतान प्लेटफ़ॉर्म, अपने विलंब मॉड्यूल से जुड़े एक शोषण से निपट रहा है। इस कमजोरी ने हमलावरों को अंतर्निहित टाइम लॉक को बायपास करने और उपयोगकर्ताओं से धन निकालने की अनुमति दी। सह-संस्थापक Martin Köppelmann ने प्रभावित उपयोगकर्ताओं को पूरी तरह से क्षतिपूर्ति करने का वादा किया है, जबकि टीम और अधिक नुकसान को रोकने के लिए प्रयासरत है।
शोषण कैसे काम करता था
\nविलंब मॉड्यूल को लेन-देन को एक निर्धारित अवधि के लिए रोकना था, जिससे उपयोगकर्ताओं को संदिग्ध गतिविधि को रद्द करने का मौका मिलता। लेकिन हमलावरों ने उस रोक को दरकिनार करने का एक तरीका ढूंढ लिया और विलंब समाप्त होने से पहले ही वॉलेट खाली कर दिए। कंपनी ने पीड़ितों की सटीक संख्या या चुराई गई कुल राशि का खुलासा नहीं किया, लेकिन Köppelmann ने एक आंतरिक संदेश में स्थिति को \"गंभीर\" बताया।
Gnosis Pay का बुनियादी ढांचा स्मार्ट कॉन्ट्रैक्ट पर निर्भर करता है जो लेन-देन में देरी लागू करते हैं। यह डिज़ाइन उपयोगकर्ताओं को कुछ गलत दिखने पर स्थानांतरण को पूर्ववत करने का एक अवसर देता है। शोषण ने उस अवसर को पूरी तरह से बेअसर कर दिया, जिससे वास्तविक समय में चोरी को रोकना असंभव हो गया।
Köppelmann का वादा
\nMartin Köppelmann ने कहा कि कंपनी शोषण के माध्यम से पैसे खोने वाले हर उपयोगकर्ता को प्रतिपूर्ति करेगी। \"हम इसे सही करने जा रहे हैं,\" उन्होंने कंपनी द्वारा साझा किए गए संदेशों के अनुसार लिखा। उन्होंने भुगतान के लिए कोई समयसीमा नहीं दी, लेकिन इस बात पर जोर दिया कि प्रतिपूर्ति Gnosis Pay के अपने फंड से आएगी, न कि उपयोगकर्ताओं की जमा राशि से।
यह प्रतिबद्धता एक ऐसे क्षेत्र में उल्लेखनीय है जहां पीड़ितों को अक्सर महीनों इंतजार करना पड़ता है या कभी अपना पैसा वापस नहीं मिलता। Köppelmann ने कहा कि प्राथमिकता पहले प्रभावित उपयोगकर्ताओं की मदद करना है, फिर यह जांचना है कि शोषण कैसे हुआ।
रोकथाम के प्रयास
\nGnosis Pay की टीम ने उल्लंघन का पता लगने के बाद तुरंत कार्रवाई की। उन्होंने विलंब मॉड्यूल को रोक दिया और संबंधित कॉन्ट्रैक्ट को लॉक कर दिया। कंपनी ने कहा कि प्रारंभिक शोषण के बाद से कोई अतिरिक्त धनराशि नहीं निकाली गई है। सुरक्षा शोधकर्ता खामी को बंद करने के लिए कोड का ऑडिट कर रहे हैं।
जिन उपयोगकर्ताओं के पास अभी भी प्लेटफ़ॉर्म पर धन है, उन्हें सलाह दी जाती है कि जब तक मॉड्यूल ऑफलाइन है, वे मैन्युअल रूप से अपना धन निकाल लें। टीम ने कहा कि परीक्षण पूरा होने के बाद वह एक फिक्स की घोषणा करेगी, लेकिन विलंब सुविधा को बहाल करने की कोई तारीख निर्धारित नहीं की है।
यह शोषण Gnosis Pay द्वारा अपने बीटा लॉन्च करने के कुछ महीनों बाद हुआ है, जिसका उद्देश्य पारंपरिक भुगतान कार्डों को क्रिप्टो वॉलेट से जोड़ना था। प्लेटफ़ॉर्म ने विलंब मॉड्यूल को एक सुरक्षा जाल के रूप में विपणन किया था। अब वह सुरक्षा जाल हमलावरों के लिए प्रवेश बिंदु बन गया है।
Köppelmann ने कहा कि कंपनी तत्काल संकट खत्म होने के बाद एक पूर्ण पोस्ट-मॉर्टम साझा करेगी। यह सवाल बने हुए हैं कि यह चूक आंतरिक समीक्षाओं से कैसे बच गई और क्या प्रतिपूर्ति सभी अप्रत्यक्ष नुकसानों, जैसे छूटे हुए लेन-देन या शुल्क, को कवर करेगी।
