Gnosis Pay, o platformă de plăți crypto, se confruntă cu o exploatare legată de modulul său de întârziere. Vulnerabilitatea a permis atacatorilor să ocolească un blocaj temporar încorporat, sustrăgând fonduri de la utilizatori. Co-fondatorul Martin Köppelmann a promis că va despăgubi utilizatorii afectați, în timp ce echipa se grăbește să limiteze daunele ulterioare.
Cum a funcționat exploatarea
Modulul de întârziere este conceput să rețină tranzacțiile pentru o perioadă stabilită, oferind utilizatorilor șansa de a anula activitatea suspectă. Dar atacatorii au găsit o modalitate de a ocoli această reținere, golind portofelele înainte ca întârzierea să expire. Compania nu a dezvăluit numărul exact de victime sau suma totală furată, dar Köppelmann a numit situația „gravă” într-un mesaj intern.
Infrastructura Gnosis Pay se bazează pe contracte inteligente care impun întârzieri ale tranzacțiilor. Acest design oferă utilizatorilor o fereastră pentru a inversa un transfer dacă observă ceva greșit. Exploatarea a neutralizat complet această fereastră, făcând imposibilă oprirea furtului în timp real.
Promisiunea lui Köppelmann
Martin Köppelmann a declarat că compania va rambursa fiecare utilizator care a pierdut bani prin exploatare. „Vom repara acest lucru”, a scris el, conform mesajelor partajate de companie. Nu a oferit un termen pentru plăți, dar a subliniat că rambursarea provine din fondurile proprii ale Gnosis Pay, nu din depozitele utilizatorilor.
Angajamentul este remarcabil într-un spațiu în care victimele așteaptă adesea luni de zile sau nu își mai recuperează niciodată banii. Köppelmann a spus că prioritatea este să ajute mai întâi utilizatorii afectați, apoi să investigheze modul în care s-a produs exploatarea.
Eforturi de limitare
Echipa Gnosis Pay a acționat rapid după descoperirea breșei. Au întrerupt modulul de întârziere și au blocat contractele conexe. Compania a declarat că nu au mai fost sustrase fonduri suplimentare de la exploatarea inițială. Cercetătorii în securitate auditează codul pentru a închide breșa.
Utilizatorilor care mai au fonduri pe platformă li se recomandă să le retragă manual, în timp ce modulul rămâne offline. Echipa a spus că va anunța o remediere după finalizarea testării, dar nu a stabilit o dată pentru restabilirea funcției de întârziere.
Exploatarea vine la doar câteva luni după ce Gnosis Pay a lansat versiunea beta, vizând să conecteze cardurile de plată tradiționale cu portofelele crypto. Platforma promovase modulul de întârziere ca pe o plasă de siguranță. Acum, această plasă de siguranță a devenit un punct de intrare pentru atacatori.
Köppelmann a spus că compania va împărtăși o analiză completă după ce criza imediată se va încheia. Rămân întrebări cu privire la modul în care această omisiune a trecut de verificările interne și dacă rambursarea va acoperi toate pierderile indirecte, cum ar fi tranzacțiile ratate sau comisioanele.
