El cofundador de Gnosis confirmó que Gnosis Pay sufrió un exploit y prometió públicamente cubrir la totalidad de las pérdidas de los usuarios (100%). Según el reporte de CriptoNoticias, hasta el momento de esta publicación, Gnosis no ha revelado el monto robado ni ha explicado el mecanismo de reembolso ni el cronograma. Gnosis Pay es una tarjeta de débito Visa autocustodiada basada en Gnosis Chain, cuyo diseño principal es que “el saldo de la tarjeta lo mantiene el usuario en su propia wallet on-chain”; precisamente este diseño es el punto clave de este incidente.
Interpretación editorial: se pone en evidencia el riesgo de la “capa de contratos inteligentes” en las tarjetas on-chain
Vayamos primero a la conclusión: lo que se vio afectado no fue una tarjeta custodiada centralizada, sino un producto que construyó su “argumento de seguridad” sobre contratos inteligentes y cuentas on-chain. El valor de esta noticia para los usuarios de tarjetas USDT va mucho más allá de “otra tarjeta más que sufrió un hackeo”.
La narrativa central de Gnosis Pay es que “tu dinero está en tu propia wallet Safe, el emisor no puede tocarlo”. En teoría, esto es más seguro que un esquema custodiado; pero el costo es que la superficie de ataque se traslada de “los servidores del emisor” a “los contratos inteligentes + las autorizaciones de tu wallet”. En cuanto surge un exploit en el contrato o en la lógica de autorización, la ventaja de la autocustodia puede convertirse instantáneamente en una desventaja.
¿Qué usuarios deberían prestar atención de inmediato?
- Usuarios de cualquier tarjeta autocustodiada o con firma on-chain: incluyendo productos como OneKey Card y Ledger Crypto Life, que usan una hardware wallet o una cuenta on-chain como origen de fondos. Este incidente no las afecta directamente, pero el mismo tipo de riesgo arquitectónico amerita revisar tus registros de autorización de contratos (approval).
- Usuarios de tarjetas USDT custodiadas: esquemas como Bybit Card o MPCard, donde los fondos están custodiados por el emisor o el exchange, no se ven afectados técnicamente por este incidente; no tienes ninguna autorización relacionada con Gnosis.
Expectativas a 7 / 30 / 90 días: en los próximos 7 días, prestar atención a si Gnosis revela el monto robado y los detalles del reembolso; los 30 días siguientes son la ventana clave para la ejecución del reembolso (la distancia entre “prometer el reembolso” y “haber reembolsado” históricamente se subestima); a los 90 días, observar si Gnosis Pay publica un informe de auditoría posterior al incidente.
Comparación histórica: prometer un reembolso no equivale a haberlo pagado
Conviene poner este caso junto a dos precedentes.
En marzo de 2023, USDC se desancló brevemente hasta cerca de 0.87 por el riesgo de Silicon Valley Bank; Circle prometió rápidamente “el reembolso total” y lo cumplió una vez que se calmó la crisis bancaria: fue una promesa con reservas transparentes y un mecanismo claro. En cambio, la promesa de Gnosis en este caso carece de divulgación de monto y mecanismo, y esa es la diferencia clave: cuando una empresa dice “cubriremos todas las pérdidas” sin especificar cuánto, con qué fondos ni cuándo se hará efectivo, la credibilidad de la promesa solo puede verificarse con la ejecución.
Otro punto de comparación son varios casos de “reembolso desde tesorerías de gobernanza” tras ataques a protocolos DeFi en 2024, donde una proporción considerable terminó completando solo un reembolso parcial, o pagando en tokens en lugar del activo original. Puntos en común: en ambos casos se trata de productos on-chain con promesas públicas de reembolso. Diferencias: Gnosis Pay está directamente vinculada a pagos del mundo real (red Visa), y su base de usuarios incluye a muchas personas que la usan como tarjeta de consumo diario y no son nativas de DeFi, con una tolerancia al “riesgo on-chain” mucho menor que la de los usuarios habituales de DeFi.
Perspectiva regulatoria y de cumplimiento: los límites en la UE se están endureciendo
Gnosis Pay está orientada principalmente al mercado europeo y opera bajo el marco regulatorio de MiCAR y de las EMI (entidades de dinero electrónico). Este tipo de incidentes cae justo en el punto más sensible desde el punto de vista regulatorio: el híbrido de fondos autocustodiados + red de pagos regulada sigue estando, en la UE, en una zona gris donde las reglas aún no están del todo claras. La tarjeta en sí (Visa) está sujeta a la licencia EMI, pero la responsabilidad de seguridad sobre la cuenta on-chain subyacente no está claramente definida en el marco vigente.
Los lectores interesados en los límites de cumplimiento en la UE pueden consultar nuestra guía de cumplimiento de la UE. En resumen: bajo MiCAR, el emisor tiene obligaciones claras respecto al proceso de pago, pero en escenarios como “fondos on-chore autocustodiados por el usuario que son atacados”, la responsabilidad del reembolso depende hoy más de un compromiso voluntario del emisor que de una obligación legal; por eso la “promesa” de Gnosis es tan importante, y también tan necesaria de vigilar.
Puntos clave a observar próximamente
- Divulgación del monto robado: si Gnosis entrega una cifra concreta dentro de una semana. Cuanto más tarde en publicarse el monto, más motivo de alerta.
- Mecanismo de reembolso: ¿se pagará en el activo original o en tokens GNO? ¿En cuotas o de una sola vez? Esto determina cuánto recuperarán realmente los usuarios.
- Auditoría posterior: si se contrata a una empresa de seguridad externa para emitir un informe y se publica la causa raíz (root cause).
- Reacción regulatoria en la UE: si algún regulador EMI emite una comunicación o consulta sobre este incidente; esto podría marcar la pauta para productos similares.
Recomendaciones editoriales
- Usuarios actuales de Gnosis Pay: antes de que se publiquen los detalles del reembolso, se recomienda retirar de la wallet on-chain el saldo que exceda las necesidades de consumo a corto plazo, y revisar y revocar cualquier autorización de contrato (approval) innecesaria. No mantengas un saldo elevado solo porque se haya “prometido el reembolso total”.
- Usuarios de tarjetas on-chain como OneKey Card o Ledger Crypto Life: este incidente no te afecta, pero es un buen momento para revisar tus autorizaciones de contratos.
- Usuarios de tarjetas USDT custodiadas: no se requiere ninguna acción. Si estás decidiendo entre la vía de autocustodia o custodia por motivos de seguridad, puedes comparar las distintas arquitecturas en nuestro listado Top 5 tarjetas de 2026.
- Usuarios que planean solicitar Gnosis Pay próximamente: se recomienda esperar 30 días antes de decidir, hasta que se concrete el reembolso y se publique el informe de auditoría.
En una frase: las tarjetas on-chain convirtieron la “seguridad” en un argumento de venta, pero la seguridad es un proceso que hay que demostrar continuamente, no un eslogan. Prometer el reembolso es una buena señal; cumplirlo es la respuesta real.