Gnosis Pay, sebuah platform pembayaran kripto, sedang menangani kecacatan yang berkaitan dengan modul penangguhannya. Kecacatan ini membolehkan penyerang mengelakkan kunci masa terbina dalam, menyedut dana dari pengguna. Co-pendiri Martin Köppelmann telah berjanji memulihkan kerugian pengguna yang terkesan ketika pasukan berusaha mengawal kerosakan lanjut.
Berikut Cara Kecacatan Berlaku
Modul penangguhan sepatutnya menahan transaksi selama tempoh tertentu, memberikan pengguna peluang untuk membatalkan aktiviti mencurigakan. Namun, penyerang berjaya mengelakkan penahanan tersebut, mengosongkan dompet sebelum tempoh penangguhan tamat. Syarikat tidak mendedahkan bilangan mangsa atau jumlah wang yang dicuri, tetapi Köppelmann menggambarkan situasi ini sebagai “serius” dalam mesej dalaman.
Infrastruktur Gnosis Pay bergantung pada kontrak pintar yang memaksakan kelewatan transaksi. Reka bentuk ini memberikan pengguna tempoh untuk membatalkan pemindahan jika terdapat sebarang kecurigaan. Kecacatan ini telah menghilangkan sepenuhnya tempoh tersebut, menjadikan mustahil untuk menghentikan pencurian secara segera.
Janji Köppelmann
Martin Köppelmann menyatakan bahawa syarikat akan membayar ganti rugi kepada setiap pengguna yang kerugian akibat kecacatan ini. 'Kami akan memperbaiki keadaan ini,' tulisnya dalam mesej yang dikongsikan oleh syarikat. Beliau tidak memberikan tempoh masa untuk bayaran ganti rugi tetapi menekankan bahawa ganti rugi ini dibayar daripada dana Gnosis Pay sendiri, bukan simpanan pengguna.
Janji ini mencuri perhatian dalam industri di mana mangsa sering terpaksa menunggu berbulan-bulan atau tidak mendapat wang mereka kembali. Köppelmann menyatakan keutamaan ialah membantu pengguna yang terkesan terlebih dahulu, sebelum menyiasat bagaimana kecacatan ini berlaku.
Usaha Mengawal Kerosakan
Pasukan Gnosis Pay bertindak pantas selepas mengesan serangan. Mereka menangguhkan modul penangguhan dan mengunci kontrak berkaitan. Syarikat menyatakan tiada dana tambahan yang dikuras sejak kecacatan pertama kali berlaku. Penyelidik keselamatan sedang mengaudit kod untuk menutup kelemahan tersebut.
Pengguna yang masih mempunyai dana di platform dinasihatkan untuk menarik keluar secara manual ketika modul masih tidak aktif. Pasukan menyatakan akan mengumumkan penyelesaian selepas pengujian selesai, tetapi belum menetapkan tarikh untuk menghidupkan semula ciri penangguhan.
Kecacatan ini berlaku hanya beberapa bulan selepas Gnosis Pay melancarkan versi beta, yang bertujuan menghubungkan kad pembayaran tradisional dengan dompet kripto. Platform tersebut telah memasarkan modul penangguhan sebagai jaring keselamatan. Kini, jaring keselamatan tersebut telah menjadi pintu masuk untuk penyerang.
Köppelmann menyatakan syarikat akan berkongsi laporan penuh selepas krisis terus diselesaikan. Soalan masih timbul berkenaan bagaimana kecuaian ini terlepas daripada semakan dalaman, serta sama ada ganti rugi akan merangkumi semua kerugian tidak langsung seperti transaksi terlepas atau yuran.
