Gnosis Pay, en kryptobetalingsplattform, håndterer et sikkerhetshull knyttet til forsinkelsesmodulen. Sårbarheten gjorde det mulig for angripere å omgå en innebygd tidslås og tappe penger fra brukere. Medgrunnlegger Martin Köppelmann har lovet å gjøre berørte brukere hel igjen, mens teamet jobber på spreng for å begrense ytterligere skade.
Slik fungerte utnyttelsen
Forsinkelsesmodulen er ment å holde transaksjoner i en angitt periode, slik at brukere får en sjanse til å kansellere mistenkelig aktivitet. Men angripere fant en måte å omgå denne sperringen på, og tømte lommebøker før forsinkelsen utløp. Selskapet oppga ikke det nøyaktige antallet ofre eller den totale summen som ble stjålet, men Köppelmann kalte situasjonen «alvorlig» i en intern melding.
Gnosis Pays infrastruktur er avhengig av smartkontrakter som håndhever transaksjonsforsinkelser. Denne utformingen gir brukere et tidsvindu til å reversere en overføring hvis de oppdager noe galt. Utnyttelsen nøytraliserte dette vinduet fullstendig, noe som gjorde det umulig å stoppe tyveriet i sanntid.
Köppelmanns løfte
Martin Köppelmann sa at selskapet ville refundere alle brukere som mistet penger gjennom utnyttelsen. «Vi skal gjøre dette rettferdig,» skrev han, ifølge meldinger delt av selskapet. Han ga ingen tidsplan for utbetalinger, men understreket at refusjonen kommer fra Gnosis Pays egne midler, ikke brukerinnskudd.
Forpliktelsen er bemerkelsesverdig i et rom der ofre ofte må vente i flere måneder eller aldri få pengene tilbake. Köppelmann sa at prioriteringen er å hjelpe berørte brukere først, deretter undersøke hvordan utnyttelsen skjedde.
Begrensningstiltak
Gnosis Pays team handlet raskt etter å ha oppdaget bruddet. De satte forsinkelsesmodulen på pause og låste ned relaterte kontrakter. Selskapet sa at ingen ytterligere midler er tappet siden det opprinnelige angrepet. Sikkerhetsforskere reviderer koden for å lukke smutthullet.
Brukere som fortsatt har midler på plattformen, blir anbefalt å ta dem ut manuelt mens modulen er offline. Teamet sa at de vil kunngjøre en løsning når testingen er fullført, men har ikke satt en dato for gjenoppretting av forsinkelsesfunksjonen.
Utnyttelsen kommer bare noen måneder etter at Gnosis Pay lanserte sin betaversjon, med mål om å bygge bro mellom tradisjonelle betalingskort og kryptolommebøker. Plattformen hadde markedsført forsinkelsesmodulen som et sikkerhetsnett. Nå har dette sikkerhetsnettet blitt et inngangspunkt for angripere.
Köppelmann sa at selskapet vil dele en fullstendig rapport etter at den umiddelbare krisen er over. Spørsmål gjenstår om hvordan oversikten slapp gjennom interne vurderinger, og om refusjonen vil dekke alle indirekte tap, som tapte transaksjoner eller gebyrer.
