Gnosis Pay, una piattaforma di pagamento crypto, sta affrontando uno sfruttamento legato al suo modulo di ritardo. La vulnerabilità ha permesso agli aggressori di aggirare un blocco temporale integrato, prelevando fondi dagli utenti. Il co-fondatore Martin Köppelmann ha promesso di risarcire gli utenti colpiti mentre il team corre per contenere ulteriori danni.
Come ha funzionato lo sfruttamento
Il modulo di ritardo dovrebbe trattenere le transazioni per un periodo prestabilito, dando agli utenti la possibilità di annullare attività sospette. Ma gli aggressori hanno trovato un modo per eludere tale trattenuta, prosciugando i portafogli prima della scadenza del ritardo. L'azienda non ha divulgato il numero esatto delle vittime né l'importo totale rubato, ma Köppelmann ha definito la situazione "grave" in un messaggio interno.
L'infrastruttura di Gnosis Pay si basa su smart contract che impongono ritardi nelle transazioni. Questo design offre agli utenti una finestra per annullare un trasferimento se notano qualcosa di anomalo. Lo sfruttamento ha neutralizzato completamente quella finestra, rendendo impossibile fermare il furto in tempo reale.
L'impegno di Köppelmann
Martin Köppelmann ha dichiarato che l'azienda rimborserà ogni utente che ha perso denaro a causa dello sfruttamento. "Risolveremo la cosa", ha scritto, secondo i messaggi diffusi dall'azienda. Non ha fornito una tempistica per i pagamenti, ma ha sottolineato che il rimborso proviene dai fondi propri di Gnosis Pay, non dai depositi degli utenti.
L'impegno è notevole in uno spazio dove le vittime spesso devono aspettare mesi o non recuperare mai i propri soldi. Köppelmann ha detto che la priorità è aiutare prima gli utenti colpiti, poi indagare su come è avvenuto lo sfruttamento.
Sforzi di contenimento
Il team di Gnosis Pay si è mosso rapidamente dopo aver scoperto la violazione. Hanno sospeso il modulo di ritardo e bloccato i contratti correlati. L'azienda ha dichiarato che non sono stati prelevati ulteriori fondi dopo lo sfruttamento iniziale. I ricercatori di sicurezza stanno esaminando il codice per chiudere la falla.
Si consiglia agli utenti che hanno ancora fondi sulla piattaforma di ritirarli manualmente mentre il modulo rimane offline. Il team ha dichiarato che annuncerà una correzione una volta completati i test, ma non ha fissato una data per il ripristino della funzione di ritardo.
Lo sfruttamento arriva pochi mesi dopo il lancio della beta di Gnosis Pay, che mirava a collegare le carte di pagamento tradizionali con i portafogli crypto. La piattaforma aveva pubblicizzato il modulo di ritardo come una rete di sicurezza. Ora quella rete di sicurezza è diventata un punto di ingresso per gli aggressori.
Köppelmann ha detto che l'azienda condividerà un'analisi completa dopo la fine della crisi immediata. Rimangono domande su come la svista sia sfuggita ai controlli interni e se il rimborso coprirà tutte le perdite indirette, come transazioni mancate o commissioni.
