Платёжная платформа на основе криптовалют Gnosis Pay столкнулась с эксплойтом, связанным с модулем задержки. Уязвимость позволила злоумышленникам обойти встроенный таймлок и вывести средства пользователей. Сооснователь Мартин Кёппельманн пообещал возместить потери пострадавшим, пока команда пытается сдержать дальнейший ущерб.
Как работал эксплойт
Модуль задержки должен удерживать транзакции на заданный период, давая пользователям возможность отменить подозрительные операции. Однако злоумышленники нашли способ обойти эту блокировку и опустошить кошельки до истечения срока задержки. Компания не раскрыла точное число пострадавших и общую сумму украденного, но Кёппельманн назвал ситуацию «серьёзной» во внутреннем сообщении.
Инфраструктура Gnosis Pay опирается на смарт-контракты, обеспечивающие задержки транзакций. Такая конструкция даёт пользователям окно для отмены перевода в случае обнаружения проблемы. Эксплойт полностью нейтрализовал это окно, сделав невозможным остановить кражу в реальном времени.
Обещание Кёппельманна
Мартин Кёппельманн заявил, что компания возместит каждому пользователю, потерявшему деньги из-за эксплойта. «Мы всё исправим», — написал он, согласно сообщениям, опубликованным компанией. Он не назвал сроки выплат, но подчеркнул, что возмещение будет произведено из собственных средств Gnosis Pay, а не депозитов пользователей.
Это обязательство примечательно для сферы, где жертвам часто приходится ждать месяцами или вообще не получать свои деньги обратно. Кёппельманн заявил, что приоритет — сначала помочь пострадавшим пользователям, а затем расследовать, как произошёл эксплойт.
Усилия по сдерживанию
Команда Gnosis Pay быстро отреагировала после обнаружения взлома. Они приостановили работу модуля задержки и заблокировали связанные контракты. Компания сообщила, что после первоначального эксплойта новых утечек не произошло. Специалисты по безопасности проводят аудит кода, чтобы закрыть уязвимость.
Пользователям, у которых ещё остались средства на платформе, рекомендуют вывести их вручную, пока модуль отключён. Команда сообщит об исправлении после завершения тестирования, но сроки восстановления функции задержки пока не названы.
Эксплойт произошёл всего через несколько месяцев после запуска бета-версии Gnosis Pay, нацеленной на объединение традиционных платёжных карт с криптокошельками. Платформа позиционировала модуль задержки как страховочную сеть. Теперь эта страховочная сеть стала точкой входа для злоумышленников.
Кёппельманн сказал, что компания обнародует полный отчёт после завершения текущего кризиса. Остаются вопросы о том, как эта ошибка прошла внутреннюю проверку и будет ли возмещение покрывать все косвенные потери, такие как пропущенные транзакции или комиссии.
