Der Mitgründer von Gnosis hat bestätigt, dass Gnosis Pay einem Exploit zum Opfer gefallen ist, und öffentlich zugesagt, sämtliche Verluste der Nutzer (100%) zu decken. Laut Bericht von CriptoNoticias hat Gnosis zum Zeitpunkt der Veröffentlichung weder die gestohlene Summe offengelegt noch den Erstattungsmechanismus oder einen Zeitplan genannt. Gnosis Pay ist eine selbstverwahrende Visa-Debitkarte auf Basis der Gnosis Chain, deren Design-Prinzip lautet: “Das Kartenguthaben wird vom Nutzer in einer On-Chain-Wallet gehalten” – genau dieses Design steht im Zentrum des aktuellen Vorfalls.
Redaktionelle Einordnung: Das Risiko der “Smart-Contract-Ebene” bei On-Chain-Karten rückt in den Fokus
Vorab die Kernaussage: Betroffen ist diesmal keine zentral verwahrte (custodial) Karte, sondern ein Produkt, das sein “Sicherheitsversprechen” auf Smart Contracts und On-Chain-Konten aufbaut. Der Erkenntniswert dieses Vorfalls für USDT-Kartennutzer geht weit über “schon wieder wurde eine Karte gehackt” hinaus.
Das Kernversprechen von Gnosis Pay lautet: “Ihr Geld liegt in Ihrer eigenen Safe-Wallet, der Kartenanbieter hat keinen Zugriff darauf.” Theoretisch ist dies sicherer als custodial-Lösungen – der Preis dafür ist jedoch, dass sich die Angriffsfläche vom “Server des Kartenanbieters” hin zu “Smart Contract + Ihrer Wallet-Autorisierung” verschiebt. Sobald im Contract oder in der Autorisierungslogik ein Exploit auftritt, kehrt sich der Vorteil der Selbstverwahrung schlagartig in einen Nachteil um.
Welche Nutzer sollten jetzt besonders aufmerksam sein?
- Nutzer jeglicher selbstverwahrender / On-Chain-signierender Karten: Dazu zählen Produkte wie OneKey Card und Ledger Crypto Life, bei denen Hardware-Wallets oder On-Chain-Konten als Geldquelle dienen. Diese sind vom aktuellen Vorfall nicht direkt betroffen, doch dasselbe Architekturrisiko rechtfertigt eine Überprüfung Ihrer Contract-Autorisierungen (Approvals).
- Nutzer custodial USDT-Karten: Bei Lösungen wie Bybit Card oder MPCard, bei denen die Gelder vom Kartenanbieter bzw. der Börse verwahrt werden, hat der aktuelle Vorfall keine direkten technischen Auswirkungen – Sie halten keinerlei Gnosis-bezogene Autorisierungen.
Erwartungen für 7 / 30 / 90 Tage: Innerhalb von 7 Tagen ist zu beobachten, ob Gnosis die gestohlene Summe sowie Erstattungsdetails veröffentlicht; innerhalb von 30 Tagen entscheidet sich, ob die Erstattung tatsächlich umgesetzt wird (“versprochene Erstattung” und “erfolgte Erstattung” liegen historisch oft weiter auseinander, als angenommen); innerhalb von 90 Tagen ist zu beobachten, ob Gnosis Pay einen Untersuchungsbericht veröffentlicht.
Historischer Vergleich: Versprochene Erstattung ≠ erfolgte Erstattung
Ein Vergleich mit zwei früheren Fällen macht die Sache deutlicher.
Im März 2023 verlor USDC infolge des Risikos der Silicon Valley Bank kurzzeitig seine Bindung und fiel auf rund 0,87. Circle versprach damals umgehend eine “vollständige Rückzahlung” und löste dieses Versprechen ein, nachdem sich die Bankenkrise gelegt hatte – das war ein Versprechen mit transparenten Reserven und klarem Mechanismus. Beim aktuellen Versprechen von Gnosis fehlt hingegen jede Angabe zu Summe und Mechanismus – genau das ist der entscheidende Unterschied: Wenn ein Unternehmen sagt “wir decken den gesamten Verlust”, ohne zu beziffern, wie viel, aus welchen Mitteln und bis wann, kann die Glaubwürdigkeit des Versprechens erst durch die tatsächliche Umsetzung belegt werden.
Ein weiterer Vergleichsfall sind die “Governance-Treasury-Erstattungen” nach diversen DeFi-Protokoll-Hacks im Jahr 2024 – ein erheblicher Anteil davon endete letztlich in nur teilweisen Erstattungen oder in Erstattungen mit Token statt den ursprünglichen Assets. Gemeinsamkeit: In beiden Fällen handelt es sich um On-Chain-Produkte mit öffentlichem Erstattungsversprechen. Unterschied: Gnosis Pay ist direkt an ein reales Zahlungsnetzwerk (Visa) gekoppelt, und unter den Nutzern befinden sich viele Alltagsnutzer, die die Karte schlicht für Konsumausgaben verwenden und keine DeFi-Natives sind – ihre Toleranz gegenüber “On-Chain-Risiken” ist deutlich geringer als die von DeFi-Nutzern.
Regulatorische und Compliance-Perspektive: Die Grenzen in der EU werden enger
Gnosis Pay richtet sich hauptsächlich an den europäischen Markt und operiert im Rahmen von MiCAR sowie als E-Geld-Institut (EMI). Dieser Vorfall trifft genau den regulatorisch sensibelsten Punkt: Die Kombination aus selbstverwahrten Geldern und einem regulierten Zahlungsnetzwerk befindet sich in der EU derzeit noch in einer regulatorischen Grauzone, in der die Regeln nicht vollständig geklärt sind. Die Karte selbst (Visa) unterliegt der EMI-Lizenzpflicht, doch die Verantwortung für die Sicherheit des zugrunde liegenden On-Chain-Kontos ist im aktuellen Rahmenwerk nicht eindeutig geregelt.
Leser, die sich näher mit den Compliance-Grenzen in der EU befassen möchten, finden weitere Informationen in unserem EU-Compliance-Leitfaden. Kurz gesagt: Unter MiCAR haben Kartenanbieter klare Pflichten im Zahlungsverkehr, doch bei Szenarien wie “vom Nutzer selbstverwahrte On-Chain-Gelder werden angegriffen” hängt die Erstattungsverantwortung derzeit eher von der freiwilligen Zusage des Kartenanbieters ab als von gesetzlicher Verpflichtung – genau deshalb ist das Versprechen von Gnosis so bedeutsam und muss so genau beobachtet werden.
Wichtige Meilensteine, die es zu beobachten gilt
- Offenlegung der gestohlenen Summe: Wird Gnosis innerhalb einer Woche eine konkrete Zahl nennen? Je länger die Summe unveröffentlicht bleibt, desto größer der Anlass zur Vorsicht.
- Erstattungsmechanismus: Erfolgt die Erstattung im ursprünglichen Asset oder in GNO-Token? In Raten oder auf einen Schlag? Das entscheidet darüber, wie viel Nutzer tatsächlich zurückerhalten.
- Nachträgliche Prüfung: Wird eine unabhängige Sicherheitsfirma beauftragt, einen Bericht zu erstellen, und wird die Grundursache (Root Cause) öffentlich gemacht?
- Reaktion der EU-Regulierung: Meldet sich eine EMI-Aufsichtsbehörde zu diesem Vorfall oder stellt Anfragen – das wird zum Richtwert für vergleichbare Produkte.
Redaktionelle Empfehlung
- Bestehende Gnosis-Pay-Nutzer: Bevor Erstattungsdetails veröffentlicht werden, empfiehlt es sich, Guthaben in der On-Chain-Wallet, das über den kurzfristigen Konsumbedarf hinausgeht, abzuziehen und nicht mehr benötigte Contract-Autorisierungen (Approvals) zu prüfen und zu widerrufen. Halten Sie kein hohes Guthaben nur deshalb, weil “eine volle Erstattung versprochen” wurde.
- Nutzer von On-Chain-Karten wie OneKey Card oder Ledger Crypto Life: Sie sind vom aktuellen Vorfall nicht betroffen, doch dies ist ein guter Zeitpunkt, Ihre Contract-Autorisierungen zu überprüfen.
- Nutzer custodial USDT-Karten: Kein Handlungsbedarf. Wer noch zwischen Selbstverwahrung und custodial-Lösung abwägt, findet einen Vergleich der unterschiedlichen Architekturen in unserer Top-5-Auswahl 2026.
- Nutzer, die eine Neuanmeldung bei Gnosis Pay planen: Es empfiehlt sich, 30 Tage abzuwarten, bis Erstattung und Untersuchungsbericht vorliegen, bevor eine Entscheidung getroffen wird.
Auf den Punkt gebracht: On-Chain-Karten haben “Sicherheit” zu ihrem Verkaufsargument gemacht – doch Sicherheit ist ein Prozess, der fortlaufend bewiesen werden muss, kein Slogan. Eine versprochene Erstattung ist eine gute Nachricht, doch erst die tatsächlich erfolgte Erstattung ist die Antwort.