Tiếng Việt · 中文 · English

Gnosis Pay bị hacker tấn công, cam kết bồi thường toàn bộ — nhưng điều bạn cần lo không chỉ là một tấm thẻ này

2026-06-02

Đồng sáng lập Gnosis xác nhận Gnosis Pay gặp phải một vụ exploit, đồng thời công khai cam kết sẽ bù đắp toàn bộ thiệt hại của người dùng (100%). Theo báo cáo của CriptoNoticias, tính đến thời điểm bài viết, phía Gnosis chưa công bố số tiền bị đánh cắp, cũng chưa nêu rõ cơ chế và thời gian biểu bồi thường. Gnosis Pay là thẻ ghi nợ Visa dạng tự lưu ký (self-custody) dựa trên Gnosis Chain, với thiết kế chủ đạo là “số dư thẻ do người dùng nắm giữ trong ví on-chain” — chính thiết kế này là điểm mấu chốt trong sự cố lần này.

Góc nhìn biên tập: rủi ro ở “tầng smart contract” của thẻ on-chain bị chỉ đích danh

Nói trước kết luận: lần này bị thiệt hại không phải là thẻ lưu ký tập trung, mà là sản phẩm xây dựng “điểm bán an toàn” dựa trên smart contract và tài khoản on-chain. Giá trị cảnh báo của sự việc này đối với người dùng thẻ USDT lớn hơn nhiều so với việc “lại thêm một thẻ bị hack”.

Câu chuyện cốt lõi của Gnosis Pay là “tiền của bạn nằm trong ví Safe của chính bạn, đơn vị phát hành thẻ không thể chạm vào”. Về lý thuyết điều này an toàn hơn so với giải pháp lưu ký; nhưng cái giá phải trả là — bề mặt tấn công đã chuyển từ “máy chủ của đơn vị phát hành thẻ” sang “smart contract + quyền ủy quyền trong ví của bạn”. Một khi hợp đồng hoặc logic ủy quyền xảy ra exploit, lợi thế của việc tự lưu ký sẽ ngay lập tức đảo ngược thành bất lợi.

Những người dùng nào cần chú ý ngay lập tức?

Kỳ vọng trong 7 / 30 / 90 ngày: trong 7 ngày cần theo dõi liệu Gnosis có công bố số tiền bị đánh cắp và chi tiết bồi thường hay không; trong 30 ngày là cửa sổ then chốt để việc bồi thường được thực hiện (“cam kết bồi thường” và “đã bồi thường” là hai việc khác nhau, khoảng cách này trong lịch sử thường bị đánh giá thấp); trong 90 ngày cần quan sát liệu Gnosis Pay có công bố báo cáo kiểm toán sau sự cố hay không.

Đối chiếu lịch sử: cam kết bồi thường ≠ đã bồi thường

Đặt sự việc lần này cạnh hai vụ việc cũ sẽ giúp nhìn rõ hơn.

Tháng 3/2023, USDC từng mất neo tạm thời xuống gần mức 0,87 do rủi ro từ Silicon Valley Bank, khi đó Circle nhanh chóng cam kết “hoàn trả toàn bộ”, và đã thực hiện đúng sau khi khủng hoảng ngân hàng lắng xuống — đó là một cam kết có dự trữ minh bạch, cơ chế rõ ràng. Còn cam kết lần này của Gnosis thiếu công bố về số tiền và cơ chế, đây là khác biệt then chốt nhất: khi một công ty nói “chúng tôi sẽ bù đắp toàn bộ thiệt hại” nhưng không nói rõ bù đắp bao nhiêu, dùng nguồn vốn nào, khi nào tiền về, độ tin cậy của cam kết chỉ có thể được kiểm chứng bằng việc thực thi.

Một đối chiếu khác là các trường hợp “bồi thường từ quỹ quản trị” sau khi một số giao thức DeFi bị tấn công vào năm 2024 — trong đó tỷ lệ không nhỏ cuối cùng chỉ hoàn thành bồi thường một phần, hoặc bồi thường bằng token thay vì tài sản gốc. Điểm giống nhau: đều là sản phẩm on-chain, đều có cam kết bồi thường công khai. Điểm khác nhau: Gnosis Pay gắn trực tiếp với thanh toán trong thế giới thực (mạng lưới Visa), trong nhóm người dùng có rất nhiều người dùng phi DeFi coi đây là thẻ tiêu dùng hàng ngày, mức độ chấp nhận “rủi ro on-chain” của họ thấp hơn nhiều so với người chơi DeFi.

Góc nhìn quản lý và tuân thủ: ranh giới tại EU đang siết chặt

Gnosis Pay chủ yếu hướng đến thị trường châu Âu, vận hành trong khuôn khổ quản lý MiCAR và EMI (tổ chức tiền điện tử). Loại sự cố này lại vừa đúng vào điểm nhạy cảm nhất của quản lý: tổ hợp “vốn tự lưu ký + mạng lưới thanh toán được quản lý”; hiện tại tại EU vẫn còn là vùng xám mà quy định chưa hoàn toàn rõ ràng. Bản thân tấm thẻ (Visa) chịu sự ràng buộc của giấy phép EMI, nhưng trách nhiệm về an toàn của tài khoản on-chain nền tảng thì trong khuôn khổ hiện hành vẫn chưa rõ ràng.

Độc giả muốn tìm hiểu ranh giới tuân thủ phía EU có thể tham khảo Hướng dẫn tuân thủ EU của chúng tôi. Nói ngắn gọn: theo MiCAR, đơn vị phát hành thẻ có nghĩa vụ rõ ràng đối với khâu thanh toán, nhưng các tình huống như “vốn on-chain tự lưu ký của người dùng bị tấn công” thì hiện tại trách nhiệm bồi thường chủ yếu dựa vào cam kết tự nguyện của đơn vị phát hành thẻ, chứ không phải bắt buộc theo luật định — đây chính là lý do “cam kết” của Gnosis quan trọng đến vậy, và cũng cần được giám sát đến vậy.

Các mốc then chốt đáng theo dõi tiếp theo

Khuyến nghị biên tập

Một câu tóm gọn: thẻ on-chain đã đưa “an toàn” vào điểm bán hàng, nhưng an toàn là một quá trình cần liên tục chứng minh, không phải một khẩu hiệu. Cam kết bồi thường là điều tốt, nhưng thực hiện bồi thường mới là câu trả lời.