Une première alerte devenue un incident on-chain plus précis
Gnosis Pay avait d’abord publié une alerte indiquant qu’un bug lié à son delay module avait été découvert. Dans son message officiel sur X, l’équipe recommandait aux utilisateurs capables de retirer leurs fonds de leur carte vers leur wallet de le faire, tout en précisant que les utilisateurs affectés seraient remboursés.
Une nouvelle analyse privée de Blockaid, transmise à Cryptahiti, permet désormais de mieux comprendre la nature probable de l’incident. Selon cette analyse, l’exploit affecterait des utilisateurs de Gnosis Pay sur Gnosis Chain. Les fonds auraient été drainés depuis des comptes Gnosis Pay Safe via leurs modules Zodiac Delay Modifier.
Le point le plus important est le suivant : l’incident ne semble pas venir d’un contournement direct du contrat Zodiac Delay lui-même. D’après l’analyse de Blockaid, le délai de 180 secondes et les contrôles de signature du module auraient fonctionné comme prévu. Le problème viendrait plutôt d’un accès autorisé utilisé de manière malveillante pour mettre en file d’attente des retraits depuis les wallets concernés.
Autrement dit, le sujet ne serait pas simplement un bug de smart contract, mais potentiellement une compromission en amont d’un composant de signature lié au backend de Gnosis Pay. Cette hypothèse reste à confirmer par l’audit officiel de Gnosis Pay, mais elle change fortement la lecture de l’incident.
Que signifie ce scénario pour les utilisateurs ?
Pour comprendre simplement, il faut revenir au fonctionnement d’une carte crypto self-custodial. Gnosis Pay s’appuie sur des comptes Safe, qui sont des wallets programmables. Ces wallets peuvent utiliser différents modules pour autoriser certaines actions liées à la carte, aux paiements et aux retraits.
Le delay module joue normalement un rôle de protection. Il ajoute un délai avant certaines actions, ce qui permet d’éviter qu’un mouvement sensible soit exécuté instantanément. La documentation de Gnosis Pay explique que le Delay Module et le Roles Module servent à encadrer les permissions et les transactions liées à la carte.
Dans le cas présent, l’attaque aurait utilisé la fonction execTransactionFromModule directement sur les Delay Modifiers des victimes. Cette fonction permet d’exécuter une transaction depuis un module autorisé. Le détail important est que cet appel ne peut réussir que si l’appelant est un module activé sur le Delay.
C’est pour cette raison que Blockaid estime que le scénario est cohérent avec une compromission en amont d’une clé ou d’un rôle backend autorisé à mettre en file d’attente des retraits utilisateurs. Le contrat Zodiac Delay n’aurait pas été cassé. Il aurait exécuté des actions initiées par une permission qui, elle, aurait été compromise.
Pour les débutants, on peut résumer ainsi : la porte n’a peut-être pas été forcée, mais une clé qui permettait d’ouvrir certaines portes aurait pu être utilisée par l’attaquant.
Les montants concernés selon l’analyse Blockaid
L’analyse communiquée à Cryptahiti indique que l’exploit aurait touché au moins 103 Gnosis Pay Safes uniques. Les montants drainés seraient répartis sur plusieurs tokens :
EURe : 137,792.92 tokens, sur 78 wallets victimes.
GNO : 2,549.23 tokens, sur 81 wallets victimes.
USDC.e : 319,942.20 tokens, sur 25 wallets victimes.
Le total indicatif serait compris entre $700K et $850K, selon les conditions de marché et la valorisation des actifs concernés.
Une transaction particulièrement importante aurait drainé 22,871.78 EURe depuis un seul Safe à 05:57:35 UTC. Cette transaction est consultable sur Gnosisscan.
La chronologie fournie indique une première vague importante à 05:57:35 UTC, avec environ 30 transactions en deux blocs. Une deuxième série aurait eu lieu vers 07:52 UTC. La dernière transaction malveillante identifiée serait intervenue à 08:53:50 UTC. À partir de 08:55 UTC, l’attaquant aurait commencé à transférer les fonds via LiFi vers d’autres blockchains.
Pourquoi l’affaire est importante pour les cartes crypto
Les cartes crypto sont souvent présentées comme l’un des usages les plus simples de la blockchain. L’utilisateur voit une carte, un solde et des paiements. Mais derrière cette simplicité se trouve une architecture complexe : wallets, modules, permissions, prestataires, signatures, contrôles, smart contracts et ponts vers d’autres réseaux.
L’incident Gnosis Pay montre que la sécurité d’un produit crypto grand public ne dépend pas seulement du wallet ou du contrat principal. Elle dépend de toute la chaîne opérationnelle. Un module peut fonctionner comme prévu, mais rester exposé si une permission sensible est compromise en amont.
C’est une leçon importante pour l’ensemble du secteur. Les utilisateurs voient souvent la self-custody comme une garantie absolue de contrôle. En réalité, la self-custody devient plus complexe lorsque le wallet est connecté à une carte, à une application, à des autorisations spécifiques et à des modules de paiement.
Le contrôle utilisateur reste une force. Mais il doit être accompagné de limites strictes sur les permissions, d’une séparation claire des rôles, d’une surveillance en temps réel et d’une capacité de réaction rapide en cas d’anomalie.
Ce que les utilisateurs doivent faire maintenant
La recommandation principale reste celle de Gnosis Pay : les utilisateurs qui opèrent un Gnosis Pay Safe sur Gnosis Chain doivent suivre les instructions officielles et retirer leurs fonds immédiatement lorsqu’ils le peuvent.
À ce stade, les utilisateurs concernés doivent aussi éviter les manipulations improvisées. Une situation d’urgence peut pousser à signer rapidement des transactions, mais la prudence reste essentielle. Il faut vérifier les liens, utiliser les canaux officiels, contrôler les adresses et éviter toute demande privée suspecte.
Gnosis Pay a annoncé que les utilisateurs affectés seraient remboursés. La prochaine étape attendue sera une communication technique complète : cause exacte, périmètre final, correctif appliqué, mesures prises sur les permissions backend, et calendrier de remboursement.
Pour des entreprises comme Coinstancy, cet incident confirme une conviction forte : lorsqu’on construit des produits financiers crypto, la sécurité opérationnelle doit être aussi importante que la conformité, l’expérience utilisateur et le produit lui-même. La confiance se joue dans les détails invisibles, surtout lorsque des fonds utilisateurs sont en jeu.
Ce qu’il faut retenir
L’exploit Gnosis Pay ne semble pas être, à ce stade, un simple bug isolé du contrat Zodiac Delay. L’analyse privée de Blockaid suggère plutôt une compromission en amont d’un rôle ou d’une clé backend autorisée à mettre en file d’attente des retraits.
Les montants concernés seraient significatifs, avec plus de 100 wallets affectés et un total estimé entre $700K et $850K. Le contrat Delay aurait fonctionné selon ses règles, mais les permissions utilisées pour déclencher les retraits auraient été exploitées.
L’affaire rappelle une réalité centrale de la finance numérique : la simplicité côté utilisateur exige une sécurité extrêmement rigoureuse en coulisses. Dans les cartes crypto, comme dans tout produit qui touche aux fonds des utilisateurs, chaque permission compte.
