Сооснователь Gnosis подтвердил, что Gnosis Pay подверглась эксплойту, и публично пообещал покрыть все убытки пользователей (100%). Согласно сообщению CriptoNoticias, на момент публикации Gnosis не раскрыла ни сумму похищенного, ни механизм и сроки компенсации. Gnosis Pay — это дебетовая карта Visa на самокастодиальной модели, работающая на базе Gnosis Chain, ключевая особенность которой — «баланс карты хранится пользователем в блокчейн-кошельке». Именно эта особенность оказалась в центре нынешнего инцидента.
Редакционная трактовка: риски “уровня смарт-контракта” в блокчейн-картах вышли на первый план
Сначала вывод: пострадал не кастодиальный продукт с централизованным хранением, а продукт, построивший своё «преимущество безопасности» на смарт-контрактах и блокчейн-счетах. Значимость этого события для держателей USDT-карт гораздо выше, чем просто «взломали ещё одну карту».
Ключевой посыл Gnosis Pay — «ваши деньги находятся в вашем собственном кошельке Safe, эмитент не может их коснуться». Теоретически это безопаснее кастодиальной схемы; но за это приходится платить тем, что поверхность атаки смещается с «серверов эмитента» на «смарт-контракты + разрешения (approval) вашего кошелька». Как только в контракте или логике разрешений возникает эксплойт, преимущество самокастодии мгновенно оборачивается недостатком.
Каким пользователям стоит обратить внимание немедленно?
- Владельцам любых карт с самокастодией / подписанием на блокчейне: включая такие продукты, как OneKey Card, Ledger Crypto Life, где источником средств выступает аппаратный кошелёк или блокчейн-счёт. Этот инцидент их напрямую не затрагивает, но тот же архитектурный риск — повод перепроверить записи о разрешениях контрактов (approval).
- Пользователям кастодиальных USDT-карт: таких как Bybit Card, MPCard, где средства хранятся эмитентом/биржей, — этот инцидент не несёт прямого технического воздействия: у вас нет никаких разрешений, связанных с Gnosis.
Ожидания на 7 / 30 / 90 дней: в течение 7 дней следите, объявит ли Gnosis сумму похищенного и детали компенсации; 30 дней — ключевое окно для фактической выплаты («обещание компенсации» и «фактическая компенсация» — историческая дистанция между ними часто недооценивается); 90 дней — время наблюдать, опубликует ли Gnosis Pay отчёт о постинцидентном аудите.
Историческое сравнение: обещание компенсации ≠ выплаченная компенсация
Этот случай станет яснее, если сопоставить его с двумя прошлыми прецедентами.
В марте 2023 года USDC ненадолго отвязался от доллара до уровня около 0,87 из-за рисков, связанных с Silicon Valley Bank, и Circle тогда быстро пообещал «полное погашение», выполнив обещание после стабилизации банковской ситуации — это было обещание с прозрачными резервами и понятным механизмом. В нынешнем же случае обещание Gnosis не сопровождается раскрытием суммы и механизма, и это ключевое отличие: когда компания говорит «мы покроем все убытки», но не уточняет сколько, за счёт каких средств и когда это произойдёт, достоверность обещания можно проверить только по факту исполнения.
Другое сравнение — случаи «компенсации из казначейства управления» после атак на ряд DeFi-протоколов в 2024 году, значительная часть которых в итоге завершилась лишь частичной выплатой или выплатой токенами, а не исходными активами. Общее: оба случая — блокчейн-продукты с публичным обещанием компенсации. Различие: Gnosis Pay напрямую привязана к реальным платежам (сеть Visa), и среди её пользователей много не связанных с DeFi людей, использующих карту как средство повседневных трат — их терпимость к «рискам блокчейна» значительно ниже, чем у DeFi-энтузиастов.
Взгляд с точки зрения регулирования и комплаенса: границы в ЕС сужаются
Gnosis Pay ориентирована в основном на европейский рынок и работает в рамках регулирования MiCAR и EMI (учреждение электронных денег). Подобные инциденты попадают ровно в наиболее чувствительную для регуляторов зону: гибрид самокастодиальных средств и регулируемой платёжной сети сейчас находится в ЕС в серой зоне, где правила ещё не полностью определены. Сама карта (Visa) подчиняется лицензии EMI, но ответственность за безопасность базового блокчейн-счёта в текущей нормативной базе не прояснена.
Читателям, желающим разобраться в границах комплаенса в ЕС, рекомендуем наш гид по комплаенсу в ЕС. Кратко: согласно MiCAR, эмитент несёт чёткие обязательства за платёжный этап, но в сценариях вроде «атаки на самокастодиальные блокчейн-средства пользователя» ответственность за компенсацию сейчас в большей степени опирается на добровольные обязательства эмитента, а не на законодательное принуждение — именно поэтому «обещание» Gnosis настолько важно и требует контроля.
Ключевые моменты, за которыми стоит следить дальше
- Раскрытие суммы похищенного: объявит ли Gnosis конкретную цифру в течение недели. Чем дольше сумма не раскрывается, тем больше поводов для настороженности.
- Механизм компенсации: будет ли выплата произведена в исходных активах или токенах GNO? Частями или единовременно? От этого зависит, сколько пользователи реально получат обратно.
- Постинцидентный аудит: наймут ли стороннюю компанию по безопасности для отчёта и публикации первопричины (root cause).
- Реакция регуляторов ЕС: направит ли какой-либо регулятор EMI запрос или письмо в связи с этим инцидентом — это станет ориентиром для аналогичных продуктов.
Рекомендации редакции
- Существующим пользователям Gnosis Pay: до публикации деталей компенсации рекомендуется вывести из блокчейн-кошелька баланс, превышающий необходимый для ближайших трат, и проверить/отозвать любые ненужные разрешения контрактов (approval). Не стоит держать высокий баланс только из-за «обещания полной компенсации».
- Владельцам блокчейн-карт вроде OneKey Card, Ledger Crypto Life: этот инцидент вас не затрагивает, но сейчас удобный момент перепроверить разрешения контрактов.
- Пользователям кастодиальных USDT-карт: никаких действий не требуется. Если вы сомневаетесь между путём самокастодии и кастодиальным решением с точки зрения безопасности, можно сравнить разные архитектуры в подборке Топ-5 карт 2026 года.
- Тем, кто планирует подать заявку на Gnosis Pay: рекомендуется отложить решение на 30 дней и дождаться фактической выплаты компенсации и отчёта об аудите, прежде чем принимать решение о входе.
Одной фразой: блокчейн-карты сделали «безопасность» частью своего торгового предложения, но безопасность — это процесс, который нужно постоянно доказывать, а не лозунг. Обещание компенсации — это хорошо, но ответ даёт только её фактическое исполнение.