Gnosis Pay: взлом delay-модуля, команда гарантирует полное возмещение

За последние сутки платёжная система Gnosis Pay столкнулась с активной эксплуатацией уязвимости в своём модуле задержки (delay module). Сооснователь проекта Мартин Кёппельманн отозвал ранее сделанное предупреждение о выводе средств и пообещал полностью компенсировать потери пострадавших пользователей.

Что зафиксировано

Атака затронула смарт-контракт delay-модуля Gnosis Pay — компонента, отвечающего за временные задержки при обработке транзакций. Злоумышленник смог обойти механизм задержки и вывести средства. Команда Gnosis Pay подтвердила инцидент и заявила, что работает над устранением уязвимости. По нашим наблюдениям, сумма ущерба может составить несколько сотен тысяч долларов, хотя точные цифры пока не раскрыты. Подробнее — каталог ASIC-майнеров.

Причины

Эксплойт стал возможен из-за ошибки в логике delay-модуля, который не проверял корректность временных меток при определённых условиях. Кёппельманн в своём заявлении отметил: «Мы выявили проблему и уже развернули исправление». Ранее он советовал пользователям срочно вывести средства, но позже изменил рекомендацию, пообещав полное возмещение.

Цифры и метрики

Gnosis Pay обрабатывает платежи в стейблкоинах и ETH, используя сеть Gnosis Chain. На момент атаки общая заблокированная стоимость (TVL) в протоколе составляла около $12 млн. Токен GNO отреагировал снижением на 4% за сутки. Для сравнения: в мае 2024 года Gnosis Pay уже сталкивалась с менее серьёзным инцидентом, связанным с оракулами, тогда потери были полностью возмещены. Подробнее — майнинг-хостинг в дата-центре.

Что будет дальше

Команда обещает провести аудит безопасности и внедрить дополнительные проверки. Пользователям, понёсшим убытки, необходимо обратиться в поддержку для получения компенсации. Восстановление работы delay-модуля ожидается в течение 48 часов.

Уроки для российского майнера

Хотя Gnosis Pay не связана напрямую с майнингом, инцидент напоминает о рисках DeFi-протоколов, которые используют майнеры для хранения выручки. Для российских майнеров, работающих через реестр ФНС и платящих НДФЛ 13-15%, потеря средств в DeFi может привести к налоговым последствиям — убытки не уменьшают налогооблагаемую базу по разъяснениям Минфина. Кроме того, многие промышленные площадки в Иркутской области (тариф ~3 руб./кВт·ч) используют стейблкоины для расчётов с хостинг-провайдерами, что делает подобные атаки актуальными для локального рынка.

Итог: взлом delay-модуля Gnosis Pay — очередной сигнал о необходимости тщательной проверки смарт-контрактов. Команда проекта берёт на себя финансовую ответственность, что укрепляет доверие, но не отменяет рисков для пользователей, в том числе из России.