Gnosis Pay는 암호화폐 결제 플랫폼으로, 지연 모듈과 관련된 취약점 악용 사태를 대응 중입니다. 이 취약점을 이용한 공격자들은 내장된 시간 잠금 기능을 우회해 사용자 자금을 유출했습니다. 공동 창업자 Martin Köppelmann은 팀이 추가 피해를 차단하기 위해 노력하는 가운데 영향을 받은 사용자에게 전액 보상할 것을 약속했습니다.
악용 방식
지연 모듈은 의심스러운 활동 시 사용자가 거래를 취소할 수 있도록 일정 기간 동안 거래를 보류하는 기능입니다. 그러나 공격자들은 이 보류 기능을 우회해 지연 시간 만료 전에 지갑 자금을 빼냈습니다. 회사는 정확한 피해자 수와 도난 금액을 밝히지 않았으나, Martin Köppelmann은 내부 메시지에서 이 상황을 '심각한' 문제라고 표현했습니다.
Gnosis Pay의 인프라는 거래 지연을 강제하는 스마트 계약에 의존합니다. 이 설계는 문제 발견 시 거래를 되돌릴 수 있는 창구를 제공하지만, 이번 악용은 그 창구를 완전히 무효화시켜 실시간 도난 차단이 불가능하게 만들었습니다.
Martin Köppelmann의 보상 약속
Martin Köppelmann은 악용으로 손실을 본 모든 사용자에게 보상할 것이라고 밝혔습니다. "이 문제를 완전히 해결할 것입니다"라고 회사가 공유한 메시지에 적혀 있습니다. 지급 일정은 명시하지 않았으나, 보상 자금은 사용자 예금이 아닌 Gnosis Pay 자체 자금에서 조달될 것이라고 강조했습니다.
사용자들이 수개월을 기다리거나 아예 보상을 받지 못하는 경우가 많은 분야에서 이 약속은 주목받고 있습니다. Martin Köppelmann은 우선 영향을 받은 사용자를 지원한 후 원인을 조사할 계획이라고 밝혔습니다.
피해 확산 차단 현황
Gnosis Pay 팀은 침해 사고 발견 직후 신속히 대응해 지연 모듈을 일시 중지하고 관련 계약을 잠갔습니다. 회사는 최초 악용 이후 추가 자금 유출은 없다고 밝혔습니다. 보안 연구원들은 취약점을 수정하기 위해 코드 점검을 진행 중입니다.
플랫폼에 자금을 보유한 사용자들은 모듈이 오프라인 상태인 동안 수동으로 출금할 것을 권장받고 있습니다. 팀은 테스트 완료 시 수정 사항을 공지할 예정이지만, 지연 기능 복구 일정은 아직 정하지 않았습니다.
이 악용 사태는 Gnosis Pay가 전통적 결제 카드와 암호화폐 지갑을 연결하는 베타 서비스를 시작한 지 몇 달 만에 발생했습니다. 회사는 지연 모듈을 안전망으로 홍보했으나, 현재 그 안전망이 공격자의 진입로로 전락했습니다.
Martin Köppelmann은 즉각적인 위기 해결 후 전체 분석 결과를 공유할 예정이라고 밝혔습니다. 내부 검토 단계에서 이 감독 소홀이 어떻게 통과되었는지, 보상이 놓친 거래나 수수료 등 간접 손실까지 포함할지에 대한 질문은 여전히 남아 있습니다.
