Español · 中文 · English

Gnosis Pay sufre un ataque hacker y promete reembolso total: pero no debería preocuparte solo esa tarjeta

2026-06-02

El cofundador de Gnosis confirmó que Gnosis Pay sufrió un exploit y prometió públicamente cubrir la totalidad de las pérdidas de los usuarios (100%). Según el reporte de CriptoNoticias, hasta el momento de esta publicación, Gnosis no ha revelado el monto robado ni ha explicado el mecanismo de reembolso ni el cronograma. Gnosis Pay es una tarjeta de débito Visa autocustodiada basada en Gnosis Chain, cuyo diseño principal es que “el saldo de la tarjeta lo mantiene el usuario en su propia wallet on-chain”; precisamente este diseño es el punto clave de este incidente.

Interpretación editorial: se pone en evidencia el riesgo de la “capa de contratos inteligentes” en las tarjetas on-chain

Vayamos primero a la conclusión: lo que se vio afectado no fue una tarjeta custodiada centralizada, sino un producto que construyó su “argumento de seguridad” sobre contratos inteligentes y cuentas on-chain. El valor de esta noticia para los usuarios de tarjetas USDT va mucho más allá de “otra tarjeta más que sufrió un hackeo”.

La narrativa central de Gnosis Pay es que “tu dinero está en tu propia wallet Safe, el emisor no puede tocarlo”. En teoría, esto es más seguro que un esquema custodiado; pero el costo es que la superficie de ataque se traslada de “los servidores del emisor” a “los contratos inteligentes + las autorizaciones de tu wallet”. En cuanto surge un exploit en el contrato o en la lógica de autorización, la ventaja de la autocustodia puede convertirse instantáneamente en una desventaja.

¿Qué usuarios deberían prestar atención de inmediato?

Expectativas a 7 / 30 / 90 días: en los próximos 7 días, prestar atención a si Gnosis revela el monto robado y los detalles del reembolso; los 30 días siguientes son la ventana clave para la ejecución del reembolso (la distancia entre “prometer el reembolso” y “haber reembolsado” históricamente se subestima); a los 90 días, observar si Gnosis Pay publica un informe de auditoría posterior al incidente.

Comparación histórica: prometer un reembolso no equivale a haberlo pagado

Conviene poner este caso junto a dos precedentes.

En marzo de 2023, USDC se desancló brevemente hasta cerca de 0.87 por el riesgo de Silicon Valley Bank; Circle prometió rápidamente “el reembolso total” y lo cumplió una vez que se calmó la crisis bancaria: fue una promesa con reservas transparentes y un mecanismo claro. En cambio, la promesa de Gnosis en este caso carece de divulgación de monto y mecanismo, y esa es la diferencia clave: cuando una empresa dice “cubriremos todas las pérdidas” sin especificar cuánto, con qué fondos ni cuándo se hará efectivo, la credibilidad de la promesa solo puede verificarse con la ejecución.

Otro punto de comparación son varios casos de “reembolso desde tesorerías de gobernanza” tras ataques a protocolos DeFi en 2024, donde una proporción considerable terminó completando solo un reembolso parcial, o pagando en tokens en lugar del activo original. Puntos en común: en ambos casos se trata de productos on-chain con promesas públicas de reembolso. Diferencias: Gnosis Pay está directamente vinculada a pagos del mundo real (red Visa), y su base de usuarios incluye a muchas personas que la usan como tarjeta de consumo diario y no son nativas de DeFi, con una tolerancia al “riesgo on-chain” mucho menor que la de los usuarios habituales de DeFi.

Perspectiva regulatoria y de cumplimiento: los límites en la UE se están endureciendo

Gnosis Pay está orientada principalmente al mercado europeo y opera bajo el marco regulatorio de MiCAR y de las EMI (entidades de dinero electrónico). Este tipo de incidentes cae justo en el punto más sensible desde el punto de vista regulatorio: el híbrido de fondos autocustodiados + red de pagos regulada sigue estando, en la UE, en una zona gris donde las reglas aún no están del todo claras. La tarjeta en sí (Visa) está sujeta a la licencia EMI, pero la responsabilidad de seguridad sobre la cuenta on-chain subyacente no está claramente definida en el marco vigente.

Los lectores interesados en los límites de cumplimiento en la UE pueden consultar nuestra guía de cumplimiento de la UE. En resumen: bajo MiCAR, el emisor tiene obligaciones claras respecto al proceso de pago, pero en escenarios como “fondos on-chore autocustodiados por el usuario que son atacados”, la responsabilidad del reembolso depende hoy más de un compromiso voluntario del emisor que de una obligación legal; por eso la “promesa” de Gnosis es tan importante, y también tan necesaria de vigilar.

Puntos clave a observar próximamente

Recomendaciones editoriales

En una frase: las tarjetas on-chain convirtieron la “seguridad” en un argumento de venta, pero la seguridad es un proceso que hay que demostrar continuamente, no un eslogan. Prometer el reembolso es una buena señal; cumplirlo es la respuesta real.