-
El exploit ocurrió en el módulo de retraso de Gnosis Pay, una capa de seguridad de sus pagos.
-
La mayoría de los usuarios no puede retirar fondos de forma autónoma, según el cofundador de Gnosis.
Gnosis Pay sufrió hoy un exploit en su módulo de retraso (delay module, en inglés), un componente que permite programar transacciones con un tiempo de espera configurable antes de que se ejecuten, según confirmó el equipo de Gnosis y su cofundador Martin Köppelmann en publicaciones en X. Al momento de la alerta, el equipo declaraba estar trabajando para contener el daño sin confirmar si el ataque fue detenido.
Gnosis Pay, desarrollador por Gnosis, es un servicio de pago de tarjeta de débito que permite gastar criptomonedas en comercios tradicionales. Está construido sobre Safe (antes conocido como Gnosis Safe), un protocolo de wallet multifirma ampliamente usado en Ethereum y cadenas compatibles.
El módulo de retraso donde ocurrió el exploit está diseñado como medida de seguridad, ya que, al introducir un intervalo entre la solicitud y la ejecución de una transacción, permite cancelar operaciones no autorizadas antes de que se completen. En este caso, ese mismo mecanismo fue el vector del ataque.
Gnosis promete cubrir el 100% de las pérdidas
En un primer momento, el equipo de Gnosis Pay y Köppelmann recomendaron a los usuarios retirar sus fondos de la tarjeta hacia sus wallets personales. Köppelmann eliminó esa publicación poco después y señaló:
Eliminé un tuit anterior que pedía a los usuarios que retiraran fondos. La mayoría de los usuarios no podrán hacerlo, pero estamos trabajando activamente para contener el daño. Creemos que podemos contener la mayor parte.
Martin Köppelmann, cofundador de Gnosis.
El cofundador del protocolo no explicó la razón del impedimento. Posiblemente el exploit haya comprometido el propio módulo de retraso que gestiona esas operaciones, lo que bloquearía la salida de fondos por la misma vía afectada.
Köppelmann extendió además una garantía pública de cobertura total. «En cualquier caso, nos aseguraremos de que todos los usuarios sean completamente compensados», escribió. El equipo de Gnosis Pay reiteró ese compromiso en su comunicado: «Los usuarios afectados serán reembolsados».
No obstante, ninguna de las dos publicaciones informó el monto sustraído, la cantidad de usuarios afectados ni el mecanismo concreto a través del cual se efectuará el reembolso.
En ese contexto, el hecho de que la mayoría de los usuarios no pueda retirar sus fondos de forma autónoma deja la contención del daño enteramente en manos del equipo.
Un antecedente reciente en el ecosistema Safe
El 25 de mayo pasado, un atacante drenó aproximadamente USD 3 millones de 86 wallets que operaban sobre Ethereum y Base, como lo reportó CriptoNoticias.
En ese caso, el vector fue un módulo externo de Squid Router (una herramienta que permite ejecutar intercambios de tokens entre distintas redes desde la wallet) que el atacante aprovechó para hacerse pasar por un operador autorizado y ejecutar transacciones sin necesitar las claves privadas de las víctimas.
Las wallets afectadas en ese exploit corrían sobre Gnosis Safe, el protocolo base compartido con Gnosis Pay, aunque son productos distintos. El CEO de Safe, Rahul Rumalla, aclaró en ese momento que el módulo de Squid Router involucrado ya había sido identificado como riesgoso dentro del sistema de alertas interno del protocolo, lo que indica que el vector de ataque estaba señalizado antes de que el daño ocurriera.
Ambos incidentes apuntan a un patrón común: en Safe, los módulos externos que amplían las funciones de las wallets representan vías de entrada adicionales para atacantes, independientemente de que el núcleo del protocolo no haya sido comprometido.
