Gnosis Pay a demandé à ses utilisateurs de retirer immédiatement leurs tokens EURe et GNO après la découverte d’une vulnérabilité critique dans le module de délai Zodiac. L’exploitation, révélée le 1er juin, a permis à un attaquant de contourner les protocoles de sécurité standards et d’initier des transactions non autorisées directement depuis les comptes Safe des utilisateurs.
Le problème vient d’un bug dans le module de délai Zodiac, un outil conçu pour introduire un délai temporel dans les transactions, permettant aux organisations autonomes décentralisées (DAO) et aux portefeuilles multisignatures de bloquer des propositions malveillantes. Au lieu de servir de filet de sécurité, le module défaillant a permis à un attaquant de mettre en file d’attente et d’exécuter des transactions, prenant ainsi le contrôle du flux d’exécution des comptes concernés.
À la suite de la diffusion de cette vulnérabilité, les utilisateurs de Gnosis Pay se sont précipités pour retirer leurs fonds afin d’éviter des pertes potentielles. Les actifs principalement concernés sont le GNO, le jeton natif de la chaîne Gnosis, et l’EURe, stablecoin en euros on-chain émis par Monerium, utilisé pour les transactions par carte de débit de Gnosis Pay. Cette ruée soudaine vers les retraits a mis une pression immédiate sur les pools de liquidité de GNO, provoquant une baisse de 4,5 % du token lors des premières transactions suivant la divulgation.
Gnosis Pay fonctionne comme un réseau de paiement décentralisé, reliant les actifs on-chain aux réseaux de cartes traditionnels Visa. Étant donné que le système dépend fortement de l'infrastructure des comptes Safe pour gérer les fonds des utilisateurs, toute vulnérabilité dans les modules sous-jacents menace directement la sécurité de l'infrastructure de paiement.
L’équipe de Gnosis n’a pas encore communiqué le montant exact des fonds exposés ou volés lors de l’incident. Les développeurs travaillent actuellement à un correctif pour sécuriser le module Zodiac, mais la priorité immédiate reste la protection des actifs des utilisateurs.
Les traders et utilisateurs doivent suivre attentivement les canaux officiels de Gnosis Pay pour obtenir un rapport détaillé et des mises à jour sur le moment où il sera sûr de déposer des fonds à nouveau. Le risque principal reste la possibilité que cette faille ait des répercussions sur d’autres protocoles DeFi utilisant le cadre Zodiac pour la planification des transactions.
Gnosis Pay recommande des retraits après l’exploitation du module Zodiac
Les utilisateurs de Gnosis Pay sont invités à retirer leurs tokens EURe et GNO suite à une faille dans le module de délai Zodiac. Cette faille a permis des transactions non autorisées.