Gnosis Pay, een crypto-betaalplatform, kampt met een exploit in verband met zijn vertragingsmodule. De kwetsbaarheid stelde aanvallers in staat een ingebouwde tijdsvergrendeling te omzeilen en geld van gebruikers af te tappen. Medeoprichter Martin Köppelmann heeft beloofd getroffen gebruikers schadeloos te stellen, terwijl het team zich haast om verdere schade te beperken.
Hoe de exploit werkte
De vertragingsmodule is bedoeld om transacties gedurende een ingestelde periode vast te houden, zodat gebruikers de kans krijgen verdachte activiteiten te annuleren. Maar aanvallers vonden een manier om die wachttijd te omzeilen en portemonnees leeg te halen voordat de vertraging verliep. Het bedrijf gaf niet het exacte aantal slachtoffers of het totale gestolen bedrag vrij, maar Köppelmann noemde de situatie in een intern bericht 'ernstig'.
De infrastructuur van Gnosis Pay is gebaseerd op slimme contracten die transactievertragingen afdwingen. Dit ontwerp geeft gebruikers een venster om een overschrijving terug te draaien als ze iets verdachts opmerken. De exploit neutraliseerde dat venster volledig, waardoor het onmogelijk werd de diefstal in realtime te stoppen.
Köppelmanns belofte
Martin Köppelmann zei dat het bedrijf elke gebruiker die geld verloor door de exploit zou vergoeden. 'We gaan dit rechtzetten,' schreef hij, volgens berichten die door het bedrijf zijn gedeeld. Hij gaf geen tijdlijn voor uitbetalingen, maar benadrukte dat de vergoeding uit eigen middelen van Gnosis Pay komt, niet uit gebruikersdeposito's.
De toezegging is opvallend in een ruimte waar slachtoffers vaak maanden moeten wachten of hun geld nooit terugkrijgen. Köppelmann zei dat de prioriteit eerst is om getroffen gebruikers te helpen, daarna te onderzoeken hoe de exploit plaatsvond.
Inperkingsinspanningen
Het team van Gnosis Pay handelde snel na ontdekking van de inbraak. Ze zetten de vertragingsmodule stil en vergrendelden gerelateerde contracten. Het bedrijf zei dat er sinds de oorspronkelijke exploit geen extra geld meer is afgetapt. Beveiligingsonderzoekers controleren de code om het lek te dichten.
Gebruikers die nog geld op het platform hebben, wordt geadviseerd dit handmatig op te nemen zolang de module offline blijft. Het team zei dat het een oplossing zal aankondigen zodra de tests zijn voltooid, maar heeft geen datum gesteld voor het herstellen van de vertragingsfunctie.
De exploit komt slechts enkele maanden nadat Gnosis Pay zijn bèta lanceerde, met als doel traditionele betaalkaarten te verbinden met crypto-portemonnees. Het platform had de vertragingsmodule gepromoot als een veiligheidsnet. Nu is dat veiligheidsnet een toegangspunt geworden voor aanvallers.
Köppelmann zei dat het bedrijf een volledige post-mortem zal delen nadat de directe crisis voorbij is. Er blijven vragen over hoe het toezicht door interne beoordelingen is geglipt en of de vergoeding alle indirecte verliezen dekt, zoals mislukte transacties of kosten.
