A Gnosis Pay, plataforma de pagamentos cripto, está lidando com um exploit relacionado ao seu módulo de atraso. A vulnerabilidade permitiu que invasores contornassem um bloqueio de tempo embutido, desviando fundos de usuários. O cofundador Martin Köppelmann prometeu ressarcir os usuários afetados enquanto a equipe corre para conter mais danos.
Como o exploit funcionou
O módulo de atraso deveria reter transações por um período determinado, dando aos usuários uma chance de cancelar atividades suspeitas. Mas os invasores encontraram uma forma de contornar essa retenção, esvaziando as carteiras antes do atraso expirar. A empresa não divulgou o número exato de vítimas nem o montante total roubado, mas Köppelmann chamou a situação de “grave” em uma comunicação interna.
A infraestrutura da Gnosis Pay depende de contratos inteligentes que impõem atrasos nas transações. Esse design oferece aos usuários uma janela para reverter uma transferência caso percebam algo errado. O exploit neutralizou completamente essa janela, impossibilitando impedir o roubo em tempo real.
Compromisso de Köppelmann
Martin Köppelmann disse que a empresa reembolsará cada usuário que perdeu dinheiro através do exploit. “Vamos resolver isso”, escreveu ele, de acordo com mensagens divulgadas pela empresa. Ele não deu um prazo para os pagamentos, mas ressaltou que o reembolso vem dos próprios fundos da Gnosis Pay, não dos depósitos dos usuários.
O compromisso é notável em um setor onde vítimas frequentemente precisam esperar meses ou nunca recuperam seu dinheiro. Köppelmann afirmou que a prioridade é primeiro ajudar os usuários afetados, depois investigar como o exploit aconteceu.
Esforços de contenção
A equipe da Gnosis Pay agiu rapidamente após descobrir a violação. Eles pausaram o módulo de atraso e bloquearam contratos relacionados. A empresa afirmou que nenhum fundo adicional foi drenado desde o exploit inicial. Pesquisadores de segurança estão auditando o código para fechar a brecha.
Usuários que ainda têm fundos na plataforma são aconselhados a retirá-los manualmente enquanto o módulo permanece offline. A equipe disse que anunciará uma correção assim que os testes forem concluídos, mas não definiu uma data para restaurar o recurso de atraso.
O exploit ocorre apenas alguns meses após o lançamento beta da Gnosis Pay, que visa conectar cartões de pagamento tradicionais a carteiras cripto. A plataforma havia comercializado o módulo de atraso como uma rede de segurança. Agora, essa rede de segurança se tornou um ponto de entrada para invasores.
Köppelmann disse que a empresa compartilhará um post-mortem completo assim que a crise imediata passar. Ainda há dúvidas sobre como a supervisão escapou das revisões internas e se o reembolso cobrirá todas as perdas indiretas, como transações perdidas ou taxas.
