ผู้ร่วมก่อตั้ง Gnosis Pay ให้คำมั่นสัญญาชดใช้ค่าเสียหาย หลังเกิดช่องโหว่ในโมดูลหน่วงเวลา

Gnosis Pay แพลตฟอร์มชำระเงินคริปโต กำลังเผชิญกับช่องโหว่ที่เกี่ยวข้องกับโมดูลหน่วงเวลา (delay module) ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเลี่ยงการล็อกเวลาที่สร้างไว้ในระบบ และดูดเงินจากผู้ใช้ มาร์ติน เคอเพลมันน์ (Martin Köppelmann) ผู้ร่วมก่อตั้ง ได้ให้สัญญาว่าจะทำให้ผู้ใช้ที่ได้รับผลกระทบกลับมาเป็นปกติ ขณะที่ทีมงานเร่งควบคุมความเสียหายเพิ่มเติม

ช่องโหว่ทำงานอย่างไร

โมดูลหน่วงเวลาถูกออกแบบให้เก็บธุรกรรมไว้ในช่วงเวลาที่กำหนด เพื่อให้ผู้ใช้มีโอกาสยกเลิกกิจกรรมที่น่าสงสัย แต่ผู้โจมตีหาวิธีเลี่ยงการหน่วงเวลานั้น ทำให้กระเป๋าเงินถูกระบายก่อนที่ระยะเวลาหน่วงจะสิ้นสุด บริษัทไม่ได้เปิดเผยจำนวนเหยื่อที่แน่ชัดหรือยอดรวมที่ถูกขโมย แต่เคอเพลมันน์เรียกสถานการณ์นี้ว่า “ร้ายแรง” ในข้อความภายใน

โครงสร้างพื้นฐานของ Gnosis Pay อาศัยสัญญาอัจฉริยะ (smart contracts) ที่บังคับใช้การหน่วงเวลาของธุรกรรม การออกแบบนี้ให้หน้าต่างแก่ผู้ใช้ในการย้อนกลับการโอนหากพบสิ่งผิดปกติ ช่องโหว่ได้ทำให้หน้าต่างนั้นไร้ผลโดยสิ้นเชิง ทำให้ไม่สามารถหยุดการขโมยได้แบบเรียลไทม์

คำมั่นสัญญาของเคอเพลมันน์

มาร์ติน เคอเพลมันน์ กล่าวว่าบริษัทจะชดใช้ให้กับผู้ใช้ทุกคนที่สูญเสียเงินจากช่องโหว่นี้ “เราจะทำให้เรื่องนี้ถูกต้อง” เขาเขียน ตามข้อความที่บริษัทแชร์ เขาไม่ได้ระบุกรอบเวลาสำหรับการจ่ายเงิน แต่เน้นว่าการชดใช้มาจากเงินของ Gnosis Pay เอง ไม่ใช่เงินฝากของผู้ใช้

คำมั่นสัญญานี้โดดเด่นในวงการที่เหยื่อมักต้องรอเป็นเดือนหรือไม่เคยได้เงินคืนเลย เคอเพลมันน์กล่าวว่าลำดับความสำคัญคือการช่วยเหลือผู้ใช้ที่ได้รับผลกระทบก่อน จากนั้นจึงสอบสวนว่าช่องโหว่เกิดขึ้นได้อย่างไร

ความพยายามในการควบคุม

ทีมงานของ Gnosis Pay ดำเนินการอย่างรวดเร็วหลังจากค้นพบการละเมิด พวกเขาหยุดการทำงานของโมดูลหน่วงเวลาและล็อกสัญญาที่เกี่ยวข้อง บริษัทระบุว่าไม่มีเงินเพิ่มเติมที่ถูกดูดออกไปนับตั้งแต่การโจมตีครั้งแรก นักวิจัยด้านความปลอดภัยกำลังตรวจสอบโค้ดเพื่อปิดช่องโหว่

ผู้ใช้ที่ยังมีเงินบนแพลตฟอร์มควรถอนออกด้วยตนเองในขณะที่โมดูลยังคงปิดอยู่ ทีมงานกล่าวว่าจะประกาศการแก้ไขเมื่อการทดสอบเสร็จสมบูรณ์ แต่ยังไม่ได้กำหนดวันสำหรับการคืนค่าฟังก์ชันหน่วงเวลา

ช่องโหว่นี้เกิดขึ้นเพียงไม่กี่เดือนหลังจาก Gnosis Pay เปิดตัวในเวอร์ชันเบต้า โดยมุ่งหวังที่จะเชื่อมบัตรชำระเงินแบบดั้งเดิมกับกระเป๋าคริปโต แพลตฟอร์มเคยโปรโมตโมดูลหน่วงเวลาว่าเป็นตาข่ายนิรภัย ตอนนี้ตาข่ายนิรภัยนั้นกลับกลายเป็นจุดเข้าโจมตีสำหรับผู้ไม่หวังดี

เคอเพลมันน์กล่าวว่าบริษัทจะแชร์บทสรุปหลังเหตุการณ์ (post-mortem) แบบเต็มรูปแบบหลังจากวิกฤตการณ์ทันทีสิ้นสุดลง ยังมีคำถามว่าข้อบกพร่องดังกล่าวรอดพ้นจากการตรวจสอบภายในได้อย่างไร และการชดใช้จะครอบคลุมความสูญเสียทางอ้อมทั้งหมด เช่น ธุรกรรมที่พลาดหรือค่าธรรมเนียมหรือไม่