أكد المؤسس المشارك لـ Gnosis تعرض Gnosis Pay لعملية استغلال (exploit)، وتعهد علناً بتغطية جميع خسائر المستخدمين (100%). ووفقاً لـتقرير CriptoNoticias، لم تكشف Gnosis حتى وقت نشر هذا المقال عن المبلغ المسروق، ولم توضح آلية التعويض أو جدوله الزمني. بطاقة Gnosis Pay هي بطاقة Visa خصم ذات حفظ ذاتي (self-custody) تعمل على شبكة Gnosis Chain، وتقوم فكرتها الأساسية على أن “رصيد البطاقة يحتفظ به المستخدم في محفظته على السلسلة” — وهذا التصميم بالذات هو محور هذه الحادثة.
قراءة تحريرية: مخاطر “طبقة العقود الذكية” للبطاقات المرتبطة بالسلاسل تحت الأضواء
لنبدأ بالنتيجة: الضرر هذه المرة لم يقع على بطاقة ذات حفظ مركزي، بل على منتج بنى “نقطة أمانه التسويقية” على العقود الذكية والحسابات على السلسلة. والقيمة التحذيرية لهذه الحادثة بالنسبة لمستخدمي بطاقات USDT أكبر بكثير من كونها “بطاقة أخرى تعرضت للاختراق”.
الفكرة الأساسية التي تسوّق بها Gnosis Pay هي “أموالك في محفظة Safe الخاصة بك، ولا يمكن للمُصدر الوصول إليها”. نظرياً هذا أكثر أماناً من الحلول ذات الحفظ المُدار؛ لكن الثمن هو أن سطح الهجوم انتقل من “خوادم المُصدر” إلى “العقود الذكية + تفويضات محفظتك”. وبمجرد ظهور استغلال في العقد أو منطق التفويض، تنقلب ميزة الحفظ الذاتي فوراً إلى عيب.
من عليه أن ينتبه فوراً؟
- مستخدمو أي بطاقة ذاتية الحفظ / توقيع على السلسلة: بما فيها منتجات مثل OneKey Card وLedger Crypto Life التي تعتمد على محفظة عتادية أو حساب على السلسلة كمصدر للأموال. هذه الحادثة لا تمسها مباشرة، لكن مخاطر البنية المماثلة تستحق منك مراجعة سجلات تفويضات العقود (approval) الخاصة بك.
- مستخدمو بطاقات USDT ذات الحفظ المُدار: مثل Bybit Card وMPCard، حيث تُحفظ الأموال لدى المُصدر/البورصة — هذه الحادثة لا تشكل تأثيراً تقنياً مباشراً عليها، فأنت لا تحمل أي تفويض متعلق بـ Gnosis.
التوقعات لـ 7 / 30 / 90 يوماً: خلال 7 أيام، تابع إن كانت Gnosis ستعلن المبلغ المسروق وتفاصيل التعويض؛ وخلال 30 يوماً هي النافذة الحاسمة لتنفيذ التعويض (فالمسافة بين “التعهد بالتعويض” و”التعويض الفعلي” غالباً ما يُستهان بها تاريخياً)؛ وخلال 90 يوماً، راقب إن كانت Gnosis Pay ستنشر تقرير تدقيق لاحق للحادثة.
مقارنة تاريخية: التعهد بالتعويض ≠ التعويض الفعلي
توضح المقارنة مع حالتين سابقتين الصورة أكثر.
في مارس 2023، انفصل USDC مؤقتاً عن سعره الثابت إلى نحو 0.87 بسبب مخاوف تتعلق بـ Silicon Valley Bank، وتعهدت Circle وقتها بسرعة “بالسداد الكامل”، ونفذت ذلك بعد تهدئة أزمة البنك — كان ذلك تعهداً شفافاً في الاحتياطيات وواضح الآلية. أما تعهد Gnosis هذه المرة يفتقر إلى الإفصاح عن المبلغ والآلية، وهذا هو الفرق الجوهري: عندما تقول شركة “سنغطي كل الخسائر” دون تحديد المقدار، أو مصدر الأموال، أو موعد التنفيذ، فإن مصداقية التعهد لا يمكن التحقق منها إلا من خلال التنفيذ الفعلي.
مقارنة أخرى هي حالات “تعويض من خزانة الحوكمة” في عدد من بروتوكولات DeFi التي تعرضت للاختراق في 2024 — حيث اكتمل جزء كبير منها فقط تعويضاً جزئياً، أو تم التعويض برموز بدلاً من الأصول الأصلية. نقاط التشابه: كلاهما منتجات على السلسلة، وكلاهما أعلن تعهداً علنياً بالتعويض. نقاط الاختلاف: Gnosis Pay مرتبطة مباشرة بمدفوعات العالم الحقيقي (شبكة Visa)، وقاعدة مستخدميها تضم نسبة كبيرة من غير مستخدمي DeFi الأصليين الذين يستخدمونها كبطاقة استهلاك يومي، وتحمّلهم لـ”مخاطر السلسلة” أقل بكثير من لاعبي DeFi.
منظور تنظيمي وامتثالي: حدود الاتحاد الأوروبي تزداد تشدداً
تستهدف Gnosis Pay السوق الأوروبية بشكل أساسي، وتعمل ضمن إطاري MiCAR وEMI (مؤسسة النقود الإلكترونية) التنظيميين. وتقع هذه الحادثة بالضبط في المنطقة الأكثر حساسية تنظيمياً: مزيج الحفظ الذاتي للأموال + شبكة الدفع الخاضعة للتنظيم لا يزال، حتى الآن، منطقة رمادية لم تُحدَّد قواعدها بالكامل في الاتحاد الأوروبي. البطاقة نفسها (Visa) مقيّدة برخصة EMI، لكن مسؤولية أمان الحساب الأساسي على السلسلة ليست واضحة ضمن الإطار الحالي.
للقارئ المهتم بفهم حدود الامتثال في الاتحاد الأوروبي، يمكن الرجوع إلى دليل الامتثال في الاتحاد الأوروبي الخاص بنا. بعبارة مبسّطة: بموجب MiCAR، على المُصدر التزامات واضحة في مرحلة الدفع، لكن سيناريو “اختراق أموال محفوظة ذاتياً من قبل المستخدم” يعتمد حالياً في مسؤولية التعويض بشكل أكبر على تعهد طوعي من المُصدر، لا على إلزام قانوني — وهذا بالضبط ما يجعل “تعهد” Gnosis مهماً للغاية، وبحاجة إلى مراقبة في الوقت نفسه.
نقاط رئيسية تستحق المتابعة مستقبلاً
- الإفصاح عن المبلغ المسروق: هل ستعلن Gnosis رقماً محدداً خلال أسبوع. وكل يوم تأخير في الإعلان يزيد من الحذر المطلوب.
- آلية التعويض: هل سيكون التعويض بالأصل الأصلي أم برمز GNO؟ على دفعات أم مرة واحدة؟ هذا يحدد ما سيحصل عليه المستخدمون فعلياً.
- التدقيق اللاحق: هل ستستعين الشركة بشركة أمن خارجية لإصدار تقرير، والإفصاح عن السبب الجذري (root cause) علناً.
- رد الجهات التنظيمية الأوروبية: هل ستوجّه جهة تنظيم EMI خطاباً أو استفساراً بشأن هذه الحادثة — سيكون ذلك مؤشراً لما سيحدث لمنتجات مماثلة.
نصائح تحريرية
- مستخدمو Gnosis Pay الحاليون: قبل الإعلان عن تفاصيل التعويض، يُنصح بتحويل أي رصيد في المحفظة على السلسلة يتجاوز احتياجات الاستهلاك القريبة، ومراجعة وإلغاء أي تفويضات عقود (approval) غير ضرورية. لا تحتفظ برصيد مرتفع فقط لأن “التعويض الكامل متعهد به”.
- مستخدمو البطاقات المرتبطة بالسلاسل مثل OneKey Card وLedger Crypto Life: هذه الحادثة لا تمسك مباشرة، لكنها فرصة جيدة لمراجعة تفويضات العقود.
- مستخدمو بطاقات USDT ذات الحفظ المُدار: لا حاجة لأي إجراء. إذا كنت تتردد بين مسار الحفظ الذاتي والحفظ المُدار من ناحية الأمان، يمكنك مقارنة الخيارات المعمارية المختلفة في أفضل 5 بطاقات لعام 2026.
- من يخطط للتقديم على Gnosis Pay حديثاً: يُنصح بتأجيل القرار 30 يوماً، وانتظار إتمام التعويض ونشر تقرير التدقيق قبل اتخاذ قرار الدخول.
باختصار: البطاقات المرتبطة بالسلاسل جعلت “الأمان” شعاراً تسويقياً، لكن الأمان عملية تحتاج إلى إثبات مستمر، لا مجرد شعار. التعهد بالتعويض أمر جيد، أما تنفيذه فعلياً هو الجواب الحقيقي.