Gnosis Pay, një platformë pagesash me kripto, po përballet me një cenim të sigurisë të lidhur me modulin e saj të vonesës. Dobësia i lejoi sulmuesit të anashkalojnë një bllokim kohor të integruar, duke tërhequr fonde nga përdoruesit. Bashkëthemeluesi Martin Köppelmann ka premtuar se do t'i kompensojë plotësisht përdoruesit e prekur, ndërsa ekipi po punon për të kontrolluar dëmet e mëtejshme.
Si funksionoi cenimi
Moduli i vonesës supozohet të mbajë transaksionet për një periudhë të caktuar, duke u dhënë përdoruesve mundësinë të anulojnë aktivitete të dyshimta. Por sulmuesit gjetën një mënyrë për të anashkaluar këtë mbajtje, duke zbrazur portofolat përpara se të skadonte vonesa. Kompania nuk zbuloi numrin e saktë të viktimave apo shumën totale të vjedhur, por Köppelmann e quajti situatën "serioze" në një mesazh të brendshëm.
Infrastruktura e Gnosis Pay mbështetet në kontrata inteligjente që zbatojnë vonesa transaksionesh. Ky dizajn u jep përdoruesve një dritare kohore për të anuluar një transferim nëse vërejnë diçka të gabuar. Cenimi neutralizoi plotësisht këtë dritare, duke e bërë të pamundur ndalimin e vjedhjes në kohë reale.
Premtimi i Köppelmann
Martin Köppelmann tha se kompania do të rimbursojë çdo përdorues që humbi para përmes cenimit. "Do ta rregullojmë këtë," shkroi ai, sipas mesazheve të ndara nga kompania. Ai nuk dha një afat kohor për pagesat, por theksoi se rimbursimi vjen nga fondet e vetë Gnosis Pay, jo nga depozitat e përdoruesve.
Angazhimi është i dukshëm në një hapësirë ku viktimat shpesh presin muaj të tërë ose nuk i marrin kurrë paratë e tyre. Köppelmann tha se prioriteti është të ndihmohen përdoruesit e prekur fillimisht, pastaj të hetohet se si ndodhi cenimi.
Përpjekjet për kontrollin e dëmit
Ekipi i Gnosis Pay veproi shpejt pas zbulimit të thyerjes. Ata ndaluan modulin e vonesës dhe bllokuan kontratat e lidhura. Kompania tha se nuk janë tërhequr fonde shtesë që nga cenimi fillestar. Studiues të sigurisë po auditojnë kodin për të mbyllur boshllëkun.
Përdoruesit që ende kanë fonde në platformë këshillohen t'i tërheqin ato manualisht ndërkohë që moduli mbetet jashtë funksioni. Ekipi tha se do të njoftojë një rregullim pasi të përfundojë testimi, por nuk ka vendosur një datë për rivendosjen e funksionit të vonesës.
Cenimi vjen vetëm disa muaj pas lançimit të beta-s së Gnosis Pay, që synonte të lidhte kartat tradicionale të pagesave me portofolat e kriptos. Platforma e kishte tregtuar modulin e vonesës si një rrjet sigurie. Tani ai rrjet sigurie është kthyer në një pikë hyrjeje për sulmuesit.
Köppelmann tha se kompania do të ndajë një analizë të plotë pas ngjarjes pasi të kalojë kriza e menjëhershme. Pyetje mbeten se si mbikëqyrja i shpëtoi rishikimeve të brendshme dhe nëse rimbursimi do të mbulojë të gjitha humbjet indirekte, si transaksionet e humbura ose tarifat.
