加密支付平台Gnosis Pay正处理一起与其延迟模块相关的漏洞利用事件。该漏洞允许攻击者绕过内置的时间锁,从用户处窃取资金。联合创始人Martin Köppelmann承诺将补偿受影响用户,同时团队正全力遏制进一步损失。
漏洞如何运作
延迟模块本应在一段时间内保留交易,给用户取消可疑活动的机会。但攻击者找到了绕过这一保留机制的方法,在延迟到期前清空了钱包。该公司未披露具体受害者人数或被盗总额,但Köppelmann在内部消息中称情况“严重”。
Gnosis Pay的基础设施依赖强制交易延迟的智能合约。这一设计为用户提供了一段窗口期,可在发现异常时撤销转账。而该漏洞完全消除了这一窗口,使实时阻止盗窃成为不可能。
Köppelmann的承诺
Martin Köppelmann表示,公司将赔偿因该漏洞而损失资金的每一位用户。“我们会弥补这一切,”他在公司分享的消息中写道。他没有给出赔付时间表,但强调赔偿资金来自Gnosis Pay自有资金,而非用户存款。
在加密货币领域,受害者常常需要等待数月甚至永远无法追回资金,这一承诺因此显得格外引人注目。Köppelmann表示,首要任务是帮助受影响用户,随后再调查漏洞发生的原因。
遏制措施
Gnosis Pay团队在发现漏洞后迅速行动。他们暂停了延迟模块,并锁定了相关合约。公司称自初始漏洞以来,未有更多资金被提取。安全研究人员正在审计代码以修补漏洞。
建议平台上仍有资金的用户在模块关闭期间手动提取资金。团队表示将在测试完成后公布修复方案,但尚未确定恢复延迟功能的具体日期。
此次漏洞发生在Gnosis Pay推出测试版仅数月后,该平台旨在将传统支付卡与加密钱包连接起来。此前平台一直将延迟模块宣传为安全网,如今这张安全网却成了攻击者的入口。
Köppelmann表示,在立即危机解除后,公司将发布完整的事后分析报告。尚有问题悬而未决:该漏洞如何通过内部审查,以及赔偿是否覆盖所有间接损失(如错过的交易或手续费)。
