Gnosis Pay, криптоплатіжна платформа, стикається з експлойтом, пов'язаним з її модулем затримки. Вразливість дозволила зловмисникам обійти вбудований тайм-лок, виводячи кошти з рахунків користувачів. Співзасновник Мартін Кеппельманн пообіцяв відшкодувати збитки постраждалим, поки команда намагається стримати подальші збитки.
Як спрацював експлойт
Модуль затримки призначений для утримання транзакцій на певний період, даючи користувачам можливість скасувати підозрілі дії. Але зловмисники знайшли спосіб обійти це утримання, спустошуючи гаманці до завершення затримки. Компанія не розкрила точну кількість постраждалих або загальну суму вкраденого, але Кеппельманн назвав ситуацію «серйозною» у внутрішньому повідомленні.
Інфраструктура Gnosis Pay покладається на смарт-контракти, які забезпечують затримки транзакцій. Така конструкція дає користувачам вікно для скасування переказу, якщо вони помітили щось не так. Експлойт повністю нейтралізував це вікно, унеможлививши зупинку крадіжки в реальному часі.
Обіцянка Кеппельманна
Мартін Кеппельманн заявив, що компанія відшкодує кожному користувачеві, який втратив гроші через експлойт. «Ми це виправимо», — написав він, згідно з повідомленнями, поширеними компанією. Він не назвав термінів виплат, але наголосив, що відшкодування надходить з власних коштів Gnosis Pay, а не з депозитів користувачів.
Це зобов'язання є примітним у сфері, де постраждалі часто чекають місяцями або взагалі не отримують свої гроші назад. Кеппельманн сказав, що першочергово допомогти постраждалим користувачам, а потім розслідувати, як стався експлойт.
Зусилля зі стримування
Команда Gnosis Pay швидко відреагувала після виявлення злому. Вони призупинили роботу модуля затримки та заблокували пов'язані контракти. Компанія повідомила, що після початкового експлойту більше коштів не виводилося. Спеціалісти з безпеки аудитують код, щоб закрити вразливість.
Користувачам, які все ще мають кошти на платформі, рекомендують вивести їх вручну, поки модуль залишається вимкненим. Команда заявила, що оголосить про виправлення після завершення тестування, але не встановила дату відновлення функції затримки.
Експлойт стався лише через кілька місяців після запуску бета-версії Gnosis Pay, яка мала на меті поєднати традиційні платіжні картки з криптогаманцями. Платформа рекламувала модуль затримки як запобіжний засіб. Тепер цей запобіжний засіб став точкою входу для зловмисників.
Кеппельманн сказав, що компанія опублікує повний звіт після завершення негайної кризи. Залишаються питання про те, як цей недогляд пройшов внутрішні перевірки і чи покриватиме відшкодування всі непрямі збитки, такі як пропущені транзакції або комісії.
