暗号通貨決済プラットフォームGnosis Payは、その遅延モジュールに関連した悪用(exploit)に対処している。この脆弱性により、攻撃者は組み込まれたタイムロックを回避し、ユーザーの資金を吸い上げることができた。共同創業者のマーティン・ケッペルマン氏は、影響を受けたユーザーを全額補償することを約束し、被害拡大を防ぐための対応を急いでいる。
悪用の仕組み
遅延モジュールは、取引を一定期間保留し、ユーザーに不審なアクティビティをキャンセルする機会を与えることを目的としている。しかし、攻撃者はその保留を回避する方法を見つけ、遅延が切れる前にウォレットから資金を引き出した。同社は被害者数や盗まれた総額を明らかにしていないが、ケッペルマン氏は社内メッセージで状況を「深刻」と述べた。
Gnosis Payのインフラは、取引遅延を強制するスマートコントラクトに依存している。この設計により、ユーザーは不審な点を発見した場合に送金を取消す猶予を得られる。しかし、今回の悪用はその猶予を完全に無効化し、リアルタイムでの盗難阻止を不可能にした。
ケッペルマン氏の約束
マーティン・ケッペルマン氏は、この悪用で金銭的損失を被ったすべてのユーザーに返金すると述べた。同社が公開したメッセージによると、「私たちはこれを正すつもりだ」と書き、支払いのスケジュールは明示しなかったが、返金はユーザーの預金ではなくGnosis Payの自己資金から行われることを強調した。
この公約は、被害者が数ヶ月待たされたり、返金されないこともしばしばある業界において注目に値する。ケッペルマン氏は、最初に影響を受けたユーザーを支援し、その後で悪用の原因を調査すると述べた。
被害拡大防止の取り組み
Gnosis Payのチームは、侵害発覚後ただちに行動を開始した。彼らは遅延モジュールを停止し、関連するコントラクトをロックダウンした。同社によると、当初の悪用以降、新たな資金の流出はない。セキュリティ研究者がコードを監査し、抜け穴を塞いでいる。
プラットフォーム上にまだ資金を保有するユーザーは、モジュールがオフラインの間、手動で資金を引き出すよう推奨されている。チームはテスト完了次第、修正を発表するが、遅延機能の復旧日時は未定としている。
今回の悪用は、Gnosis Payが伝統的な決済カードと暗号ウォレットを橋渡しすることを目指してベータ版を開始した数ヶ月後に発生した。同プラットフォームは遅延モジュールをセーフティネットとして売り込んでいた。今度はそのセーフティネットが攻撃者の侵入経路となった。
ケッペルマン氏は、当面の危機が収束した後、完全な事後検証報告書を共有する予定だと述べた。内部レビューでどのように見落としが発生したのか、また返金が未実行の取引や手数料などの間接的損失をすべてカバーするのかという疑問が残っている。
