Hinimok ang mga gumagamit ng Gnosis Pay na mag-withdraw ng pondo matapos ang isang aktibong exploit na konektado sa Zodiac delay module ng platform, ayon sa mga post mula sa Gnosis co-founder na si Martin Köppelmann at blockchain security firm na PeckShield.
“Kung ikaw ay isang gumagamit ng Gnosis Pay – sa kasamaang palad ay kailangan kong irekomenda: i-withdraw ang lahat ng pondo (EURe at GNO),” sabi ni Martin Köppelmann sa X.
Sinabi niya na mayroong bug ang delay module at binalaan na ang mga gumagamit ay “maaaring maapektuhan.” Sinabi ng post sa mga gumagamit na ilipat ang EURe at GNO mula sa Gnosis Pay habang tinutugunan ng koponan ang isyu.
“Mariing hinihimok ang mga gumagamit na i-withdraw ang lahat ng pondo (EURe at GNO),” sabi ng PeckShield sa isang hiwalay na alerto.
Sinabi ng blockchain security firm na nagbabala si Köppelmann tungkol sa isang aktibong exploit na may kaugnayan sa Gnosis Pay. Sinabihan din nito ang mga gumagamit na suriin ang kanilang exposure dahil maaari silang maapektuhan.
“Ang bug ay may kaugnayan sa Zodiac delay module,” sabi ni Köppelmann sa isang mas huling update.
Sinabi niya na maaaring magsimula ang umaatake ng mga transaksyon mula sa mga Safe na gumagamit ng delay module. Nagbigay ang update ng mas maraming detalye tungkol sa teknikal na pinagmulan ng exploit matapos ang unang babala na tumutukoy lamang sa isang bug ng delay module.
Gumagamit ang Gnosis Pay ng mga account na nakabatay sa Safe na may mga smart contract module. Sinasabi ng sarili nitong dokumentasyon na ang mga Gnosis Pay account ay gumagamit ng Delay Module at Roles Module upang suportahan ang mga pagbabayad sa card habang pinapanatili ang mga gumagamit na may kontrol sa kanilang mga account.
Ang Delay Module ay idinisenyo upang maglagay ng maikling paghihintay bago maisagawa ang mga papalabas na transaksyon. Sa normal na paggamit, binibigyan nito ang mga gumagamit ng oras upang mag-react bago matapos ang ilang partikular na paglilipat.
“Gumagawa kami ng iba't ibang hakbang upang mapigilan ang pinsala tulad ng paghiling sa mga bridge validator na i-pause,” sabi ni Köppelmann.
Ipinapakita ng pahayag na nakikipagtulungan ang Gnosis sa mga panlabas na provider ng imprastraktura habang tinutugunan nito ang exploit. Ang mga bridge validator ay maaaring gumanap ng papel sa paggalaw sa cross-chain, kaya ang isang pag-pause ay maaaring makatulong na pabagalin ang karagdagang paggalaw ng mga apektadong pondo.
“Maging panatag, sasagutin ng Gnosis ang lahat ng pagkalugi ng user,” sabi ni Köppelmann.
Walang huling bilang ng pagkalugi ang nai-publish sa oras ng pagsusulat. Hindi rin naglabas ang koponan ng isang buong post-mortem na nagpapaliwanag kung gaano karaming account ang naapektuhan o kung huminto na ang lahat ng aktibidad ng umaatake.
Gaya ng iniulat dati ng crypto.news, naglunsad ang Gnosis Pay ng self-custody card para sa paggastos ng crypto sa mga merchant ng Visa. Ang produkto ay binuo upang ikonekta ang mga blockchain wallet sa mga pagbabayad sa totoong mundo.
Ang disenyo na iyon ay naglalagay sa Gnosis Pay sa lumalaking grupo ng mga tool sa pagbabayad ng crypto na gumagamit ng mga smart contract upang suportahan ang pang-araw-araw na paggastos. Nagbibigay din ito ng mas maraming pansin sa code na kumokontrol sa mga pahintulot ng wallet at timing ng transaksyon.
Ang pinakabagong babala ay hindi naglalarawan sa Gnosis Pay bilang isinara. Sinasabi nito na dapat mag-withdraw ang mga gumagamit ng EURe at GNO habang tinutugunan ng koponan ang exploit.
