Le cofondateur de Gnosis a confirmé que Gnosis Pay a subi un exploit et a publiquement promis de couvrir l’intégralité des pertes des utilisateurs (100%). Selon le rapport de CriptoNoticias, à l’heure de la publication, Gnosis n’a divulgué ni le montant volé, ni le mécanisme de remboursement, ni le calendrier. Gnosis Pay est une carte de débit Visa auto-gérée (self-custody) basée sur la Gnosis Chain, dont l’argument principal est que « le solde de la carte est détenu par l’utilisateur dans un wallet on-chain » — un design qui est justement au cœur de cet incident.
Analyse éditoriale : le risque de la « couche smart contract » des cartes on-chain pointé du doigt
Commençons par la conclusion : ce qui a été touché ici n’est pas une carte en dépôt géré centralisé, mais un produit qui a fait de la sécurité un argument de vente en s’appuyant sur des smart contracts et des comptes on-chain. La valeur d’alerte de cet événement pour les utilisateurs de cartes USDT dépasse largement le simple fait qu’« une carte de plus s’est fait pirater ».
Le récit central de Gnosis Pay est que « votre argent est dans votre propre wallet Safe, l’émetteur n’y a pas accès ». En théorie, c’est plus sûr qu’une solution en dépôt géré ; mais le prix à payer, c’est que la surface d’attaque se déplace des « serveurs de l’émetteur » vers « les smart contracts + les autorisations de votre wallet ». Dès qu’un exploit survient dans le contrat ou dans la logique d’autorisation, l’avantage de l’auto-garde se retourne instantanément en désavantage.
Quels utilisateurs devraient s’en préoccuper immédiatement ?
- Les détenteurs de toute carte auto-gérée / à signature on-chain : y compris des produits comme OneKey Card et Ledger Crypto Life, qui utilisent un wallet matériel ou un compte on-chain comme source des fonds. Cet incident ne les touche pas directement, mais ce même type de risque architectural mérite que vous révisiez vos autorisations de contrat (approvals).
- Les utilisateurs de cartes USDT en dépôt géré : des solutions comme Bybit Card et MPCard, où les fonds sont détenus par l’émetteur/l’exchange, ne subissent aucun impact technique direct — vous ne détenez aucune autorisation liée à Gnosis.
Attentes à 7 / 30 / 90 jours : dans les 7 jours, surveiller si Gnosis publie le montant volé et les détails du remboursement ; dans les 30 jours, la fenêtre clé pour la concrétisation du remboursement (l’écart entre « promesse de remboursement » et « remboursement effectué » est historiquement souvent sous-estimé) ; dans les 90 jours, observer si Gnosis Pay publie un rapport d’audit post-incident.
Comparaison historique : promettre un remboursement ≠ rembourser effectivement
Mettre cet incident en parallèle avec deux précédents permet d’y voir plus clair.
En mars 2023, l’USDC s’était brièvement décroché à environ 0,87 en raison du risque lié à la Silicon Valley Bank ; Circle avait alors rapidement promis un « remboursement intégral » et avait tenu parole une fois la crise bancaire apaisée — c’était une promesse avec des réserves transparentes et un mécanisme clair. La promesse de Gnosis cette fois-ci manque de divulgation du montant et du mécanisme, ce qui est la différence essentielle : quand une entreprise dit « nous couvrirons toutes les pertes » sans préciser combien, avec quels fonds, ni à quelle échéance, la crédibilité de la promesse ne peut être validée que par l’exécution.
Autre point de comparaison : plusieurs cas de « remboursement via trésorerie de gouvernance » de protocoles DeFi piratés en 2024 — dont une proportion importante n’a finalement abouti qu’à un remboursement partiel, ou à un remboursement en tokens plutôt qu’en actif d’origine. Points communs : produits on-chain, promesse de remboursement publique dans les deux cas. Différences : Gnosis Pay est directement rattaché à un réseau de paiement du monde réel (réseau Visa), et sa base d’utilisateurs compte de nombreux utilisateurs non natifs de la DeFi qui utilisent la carte pour leurs dépenses quotidiennes — leur tolérance au « risque on-chain » est bien plus faible que celle des utilisateurs DeFi.
Perspective réglementaire et de conformité : les frontières européennes se resserrent
Gnosis Pay cible principalement le marché européen et opère dans le cadre réglementaire MiCAR et EMI (établissement de monnaie électronique). Ce type d’incident se situe précisément à l’endroit le plus sensible pour les régulateurs : l’hybride entre fonds auto-gérés et réseau de paiement réglementé se trouve encore, dans l’UE, dans une zone grise où les règles ne sont pas totalement clarifiées. La carte elle-même (Visa) est encadrée par la licence EMI, mais la responsabilité en matière de sécurité du compte on-chain sous-jacent n’est pas clairement définie dans le cadre actuel.
Les lecteurs souhaitant en savoir plus sur les frontières réglementaires côté UE peuvent consulter notre guide de conformité UE. En résumé : sous MiCAR, l’émetteur a des obligations claires concernant le volet paiement, mais pour un scénario tel que « les fonds on-chain auto-gérés par l’utilisateur sont attaqués », la responsabilité du remboursement dépend aujourd’hui davantage d’un engagement volontaire de l’émetteur que d’une obligation légale — c’est précisément pourquoi la « promesse » de Gnosis est si importante, et doit être surveillée de si près.
Points clés à surveiller par la suite
- Divulgation du montant volé : Gnosis donnera-t-il un chiffre précis dans la semaine. Plus la publication tarde, plus la vigilance est de mise.
- Mécanisme de remboursement : remboursement en actif d’origine ou en token GNO ? En plusieurs fois ou en une seule fois ? C’est ce qui détermine ce que les utilisateurs récupéreront réellement.
- Audit post-incident : une société de sécurité tierce sera-t-elle mandatée pour produire un rapport et divulguer publiquement la cause racine (root cause).
- Réaction réglementaire européenne : un régulateur EMI enverra-t-il un courrier ou une demande d’information suite à cet incident — ce qui servirait de signal pour les produits similaires.
Recommandations éditoriales
- Utilisateurs actuels de Gnosis Pay : en attendant la publication des détails du remboursement, il est conseillé de transférer hors du wallet on-chain tout solde dépassant vos besoins de dépense à court terme, et de vérifier puis révoquer toute autorisation de contrat (approval) non nécessaire. Ne conservez pas un solde élevé simplement parce qu’un « remboursement intégral » a été promis.
- Détenteurs de cartes on-chain comme OneKey Card ou Ledger Crypto Life : cet incident ne vous concerne pas directement, mais c’est le bon moment pour revoir vos autorisations de contrat.
- Utilisateurs de cartes USDT en dépôt géré : aucune action nécessaire. Si vous hésitez entre auto-garde et dépôt géré du point de vue de la sécurité, vous pouvez comparer les arbitrages architecturaux dans notre sélection Top 5 des cartes 2026.
- Utilisateurs envisageant de souscrire à Gnosis Pay : il est conseillé de patienter 30 jours, le temps que le remboursement soit concrétisé et que le rapport d’audit soit publié, avant de décider de vous lancer.
En résumé : les cartes on-chain ont fait de la « sécurité » un argument de vente, mais la sécurité est un processus qui doit être démontré en continu, pas un simple slogan. Promettre un remboursement est une bonne chose ; le tenir effectivement en est la véritable réponse.