Exploitation de Gnosis Pay : Retrait des fonds recommandé
Les utilisateurs de Gnosis Pay ont été invités à retirer leurs fonds après une exploitation active liée au module de délai Zodiac de la plateforme. Cette alerte provient de publications du co-fondateur de Gnosis, Martin Köppelmann, et de la société de sécurité blockchain PeckShield.
« Si vous êtes un utilisateur de Gnosis Pay, je dois malheureusement vous recommander de retirer tous vos fonds (EURe et GNO), » a déclaré Martin Köppelmann sur X.
Köppelmann a indiqué que le module de délai présente un bug et a averti que les utilisateurs « pourraient être affectés ». Le message a conseillé aux utilisateurs de transférer à la fois l’EURe et le GNO de Gnosis Pay pendant que l’équipe travaille sur le problème.
« Les utilisateurs sont fortement encouragés à retirer tous leurs fonds (EURe et GNO), » a déclaré PeckShield dans une alerte séparée.
Le hashtag #PeckShieldAlert a averti qu’il existe une exploitation active liée à Gnosis Pay et a également conseillé aux utilisateurs de vérifier leur exposition, car ils pourraient être touchés. Köppelmann a précisé que :
« Le bug est lié au module de délai Zodiac. »
Il a expliqué que l’attaquant peut initier des transactions à partir de Safes utilisant ce module de délai. La mise à jour a fourni plus de détails sur la source technique de l’exploitation, après que le premier avertissement ne faisait référence qu’à un bug du module de délai. Ce bug permet à l’attaquant d’initier des transactions à partir de Safes avec un tel module de délai.
Nous prenons diverses mesures pour contenir les dommages, comme demander aux validateurs de pont de faire une pause. Gnosis Pay utilise des comptes basés sur Safe avec des modules de contrat intelligent. Sa propre documentation indique que les comptes Gnosis Pay utilisent un module de délai et un module de rôles pour soutenir les paiements par carte tout en gardant les utilisateurs en contrôle de leurs comptes.
Le module de délai est conçu pour imposer une courte attente avant que les transactions sortantes puissent être exécutées. Dans une utilisation normale, cela donne aux utilisateurs le temps de réagir avant que certains transferts ne soient finalisés.
« Soyez assuré que Gnosis couvrira toutes les pertes des utilisateurs, » a ajouté Köppelmann.
Aucun chiffre final sur les pertes n’avait été publié au moment de la rédaction. L’équipe n’a également pas publié de rapport complet expliquant combien de comptes ont été affectés ou si toute activité d’attaquant a cessé.
Comme précédemment rapporté par crypto.news, Gnosis Pay a lancé une carte de garde autonome pour les dépenses en crypto chez les commerçants Visa. Ce produit a été conçu pour connecter les portefeuilles blockchain avec les paiements dans le monde réel. Ce design place Gnosis Pay dans un groupe croissant d’outils de paiement crypto qui utilisent des contrats intelligents pour soutenir les dépenses quotidiennes.
Cela met également davantage l’accent sur le code qui contrôle les autorisations de portefeuille et le timing des transactions. Le dernier avertissement ne décrit pas Gnosis Pay comme étant arrêté, mais indique que les utilisateurs devraient retirer l’EURe et le GNO pendant que l’équipe travaille à contenir l’exploitation.
