Gnosis Pay, platforma płatności kryptowalutowych, mierzy się z atakiem związanym z jej modułem opóźnienia. Luka umożliwiła atakującym ominięcie wbudowanego blokady czasowej i wyprowadzenie środków użytkowników. Współzałożyciel Martin Köppelmann obiecał pokryć straty poszkodowanym, podczas gdy zespół próbuje opanować dalsze szkody.
Jak działał atak
Moduł opóźnienia ma przetrzymywać transakcje przez określony czas, dając użytkownikom szansę na anulowanie podejrzanej aktywności. Atakujący znaleźli jednak sposób na ominięcie tego wstrzymania, opróżniając portfele przed upływem opóźnienia. Firma nie ujawniła dokładnej liczby ofiar ani całkowitej skradzionej kwoty, ale Köppelmann określił sytuację jako „poważną” w wewnętrznej wiadomości.
Infrastruktura Gnosis Pay opiera się na inteligentnych kontraktach, które egzekwują opóźnienia transakcji. Ten projekt daje użytkownikom okno na odwrócenie przelewu, jeśli zauważą coś niepokojącego. Atak całkowicie zneutralizował to okno, uniemożliwiając powstrzymanie kradzieży w czasie rzeczywistym.
Obietnica Köppelmanna
Martin Köppelmann powiedział, że firma zwróci pieniądze każdemu użytkownikowi, który stracił środki w wyniku ataku. „Naprawimy to” – napisał, zgodnie z wiadomościami udostępnionymi przez firmę. Nie podał terminu wypłat, ale podkreślił, że rekompensata pochodzi z własnych funduszy Gnosis Pay, a nie z depozytów użytkowników.
To zobowiązanie jest godne uwagi w branży, gdzie ofiary często czekają miesiące lub nigdy nie odzyskują pieniędzy. Köppelmann powiedział, że priorytetem jest najpierw pomoc poszkodowanym użytkownikom, a potem zbadanie, jak doszło do ataku.
Działania zapobiegawcze
Zespół Gnosis Pay szybko zareagował po wykryciu naruszenia. Wstrzymali moduł opóźnienia i zablokowali powiązane kontrakty. Firma poinformowała, że od momentu pierwotnego ataku nie wyprowadzono żadnych dodatkowych środków. Eksperci ds. bezpieczeństwa analizują kod, aby zamknąć lukę.
Użytkownicy, którzy wciąż mają środki na platformie, są proszeni o ręczne ich wypłacenie, dopóki moduł pozostaje wyłączony. Zespół zapowiedział ogłoszenie poprawki po zakończeniu testów, ale nie podał daty przywrócenia funkcji opóźnienia.
Atak ma miejsce zaledwie kilka miesięcy po uruchomieniu wersji beta Gnosis Pay, której celem było połączenie tradycyjnych kart płatniczych z portfelami kryptowalutowymi. Platforma reklamowała moduł opóźnienia jako zabezpieczenie. Teraz to zabezpieczenie stało się punktem wejścia dla atakujących.
Köppelmann powiedział, że firma opublikuje szczegółową analizę po zakończeniu bezpośredniego kryzysu. Pozostają pytania, w jaki sposób przeoczenie to przeszło przez wewnętrzne kontrole oraz czy rekompensata obejmie wszystkie pośrednie straty, takie jak niezrealizowane transakcje czy opłaty.
