Gnosis Pay, sebuah platform pembayaran kripto, sedang menghadapi eksploitasi yang terkait dengan modul penundaannya. Kerentanan ini memungkinkan penyerang menghindari time lock yang terintegrasi, menyedot dana dari pengguna. Pendiri Bersama Martin Köppelmann telah berjanji mengembalikan kerugian pengguna yang terdampak sambil tim berusaha meminimalkan kerusakan lebih lanjut.
Cara Eksploitasi Bekerja
Modul penundaan seharusnya menahan transaksi selama periode tertentu, memberikan pengguna kesempatan membatalkan aktivitas mencurigakan. Namun, penyerang menemukan cara menghindari penahanan tersebut, menguras dompet sebelum masa penundaan berakhir. Perusahaan tidak mengungkapkan jumlah pasti korban atau total dana yang dicuri, namun Köppelmann menyebut situasi ini 'serius' dalam pesan internal.
Infrastruktur Gnosis Pay mengandalkan smart contract yang menegakkan penundaan transaksi. Desain ini memberikan pengguna jendela waktu untuk membatalkan transfer jika menemukan sesuatu yang salah. Eksploitasi ini sepenuhnya menonaktifkan jendela tersebut, sehingga tidak mungkin menghentikan pencurian secara real time.
Janji Köppelmann
Martin Köppelmann menyatakan perusahaan akan mengganti kerugian setiap pengguna yang kehilangan uang akibat eksploitasi. 'Kami akan memperbaiki kesalahan ini,' tulisnya, menurut pesan yang dibagikan perusahaan. Ia tidak memberikan jadwal pembayaran tetapi menekankan bahwa penggantian dana berasal dari dana Gnosis Pay sendiri, bukan dari deposit pengguna.
Komitmen ini menonjol di bidang yang sering kali korban harus menunggu berbulan-bulan atau bahkan tidak mendapatkan uang mereka kembali. Köppelmann menyatakan prioritas utama adalah membantu pengguna yang terdampak terlebih dahulu, baru kemudian menyelidiki bagaimana eksploitasi terjadi.
Upaya Penanggulangan
Tim Gnosis Pay bertindak cepat setelah menemukan pelanggaran tersebut. Mereka menonaktifkan sementara modul penundaan dan mengunci kontrak terkait. Perusahaan menyatakan tidak ada dana tambahan yang dikuras sejak eksploitasi awal. Peneliti keamanan sedang melakukan audit kode untuk menutup celah tersebut.
Pengguna yang masih memiliki dana di platform dianjurkan menariknya secara manual selama modul masih dinonaktifkan. Tim menyatakan akan mengumumkan pembaruan setelah pengujian selesai, namun belum menetapkan tanggal untuk mengaktifkan kembali fitur penundaan.
Eksploitasi ini terjadi hanya beberapa bulan setelah Gnosis Pay meluncurkan versi beta, yang bertujuan menghubungkan kartu pembayaran tradisional dengan dompet kripto. Platform ini sebelumnya memasarkan modul penundaan sebagai jaring pengaman. Kini jaring pengaman tersebut justru menjadi pintu masuk bagi penyerang.
Köppelmann menyatakan perusahaan akan membagikan analisis pasca-kejadian setelah krisis langsung berakhir. Masih ada pertanyaan tentang bagaimana kelalaian ini lolos dari tinjauan internal dan apakah penggantian dana akan mencakup semua kerugian tidak langsung, seperti transaksi yang terlewat atau biaya.
