Deutsch · 中文 · English

Gnosis Pay gehackt, volle Erstattung versprochen – doch nicht nur diese eine Karte sollte Sie beunruhigen

2026-06-02

Der Mitgründer von Gnosis hat bestätigt, dass Gnosis Pay einem Exploit zum Opfer gefallen ist, und öffentlich zugesagt, sämtliche Verluste der Nutzer (100%) zu decken. Laut Bericht von CriptoNoticias hat Gnosis zum Zeitpunkt der Veröffentlichung weder die gestohlene Summe offengelegt noch den Erstattungsmechanismus oder einen Zeitplan genannt. Gnosis Pay ist eine selbstverwahrende Visa-Debitkarte auf Basis der Gnosis Chain, deren Design-Prinzip lautet: “Das Kartenguthaben wird vom Nutzer in einer On-Chain-Wallet gehalten” – genau dieses Design steht im Zentrum des aktuellen Vorfalls.

Redaktionelle Einordnung: Das Risiko der “Smart-Contract-Ebene” bei On-Chain-Karten rückt in den Fokus

Vorab die Kernaussage: Betroffen ist diesmal keine zentral verwahrte (custodial) Karte, sondern ein Produkt, das sein “Sicherheitsversprechen” auf Smart Contracts und On-Chain-Konten aufbaut. Der Erkenntniswert dieses Vorfalls für USDT-Kartennutzer geht weit über “schon wieder wurde eine Karte gehackt” hinaus.

Das Kernversprechen von Gnosis Pay lautet: “Ihr Geld liegt in Ihrer eigenen Safe-Wallet, der Kartenanbieter hat keinen Zugriff darauf.” Theoretisch ist dies sicherer als custodial-Lösungen – der Preis dafür ist jedoch, dass sich die Angriffsfläche vom “Server des Kartenanbieters” hin zu “Smart Contract + Ihrer Wallet-Autorisierung” verschiebt. Sobald im Contract oder in der Autorisierungslogik ein Exploit auftritt, kehrt sich der Vorteil der Selbstverwahrung schlagartig in einen Nachteil um.

Welche Nutzer sollten jetzt besonders aufmerksam sein?

Erwartungen für 7 / 30 / 90 Tage: Innerhalb von 7 Tagen ist zu beobachten, ob Gnosis die gestohlene Summe sowie Erstattungsdetails veröffentlicht; innerhalb von 30 Tagen entscheidet sich, ob die Erstattung tatsächlich umgesetzt wird (“versprochene Erstattung” und “erfolgte Erstattung” liegen historisch oft weiter auseinander, als angenommen); innerhalb von 90 Tagen ist zu beobachten, ob Gnosis Pay einen Untersuchungsbericht veröffentlicht.

Historischer Vergleich: Versprochene Erstattung ≠ erfolgte Erstattung

Ein Vergleich mit zwei früheren Fällen macht die Sache deutlicher.

Im März 2023 verlor USDC infolge des Risikos der Silicon Valley Bank kurzzeitig seine Bindung und fiel auf rund 0,87. Circle versprach damals umgehend eine “vollständige Rückzahlung” und löste dieses Versprechen ein, nachdem sich die Bankenkrise gelegt hatte – das war ein Versprechen mit transparenten Reserven und klarem Mechanismus. Beim aktuellen Versprechen von Gnosis fehlt hingegen jede Angabe zu Summe und Mechanismus – genau das ist der entscheidende Unterschied: Wenn ein Unternehmen sagt “wir decken den gesamten Verlust”, ohne zu beziffern, wie viel, aus welchen Mitteln und bis wann, kann die Glaubwürdigkeit des Versprechens erst durch die tatsächliche Umsetzung belegt werden.

Ein weiterer Vergleichsfall sind die “Governance-Treasury-Erstattungen” nach diversen DeFi-Protokoll-Hacks im Jahr 2024 – ein erheblicher Anteil davon endete letztlich in nur teilweisen Erstattungen oder in Erstattungen mit Token statt den ursprünglichen Assets. Gemeinsamkeit: In beiden Fällen handelt es sich um On-Chain-Produkte mit öffentlichem Erstattungsversprechen. Unterschied: Gnosis Pay ist direkt an ein reales Zahlungsnetzwerk (Visa) gekoppelt, und unter den Nutzern befinden sich viele Alltagsnutzer, die die Karte schlicht für Konsumausgaben verwenden und keine DeFi-Natives sind – ihre Toleranz gegenüber “On-Chain-Risiken” ist deutlich geringer als die von DeFi-Nutzern.

Regulatorische und Compliance-Perspektive: Die Grenzen in der EU werden enger

Gnosis Pay richtet sich hauptsächlich an den europäischen Markt und operiert im Rahmen von MiCAR sowie als E-Geld-Institut (EMI). Dieser Vorfall trifft genau den regulatorisch sensibelsten Punkt: Die Kombination aus selbstverwahrten Geldern und einem regulierten Zahlungsnetzwerk befindet sich in der EU derzeit noch in einer regulatorischen Grauzone, in der die Regeln nicht vollständig geklärt sind. Die Karte selbst (Visa) unterliegt der EMI-Lizenzpflicht, doch die Verantwortung für die Sicherheit des zugrunde liegenden On-Chain-Kontos ist im aktuellen Rahmenwerk nicht eindeutig geregelt.

Leser, die sich näher mit den Compliance-Grenzen in der EU befassen möchten, finden weitere Informationen in unserem EU-Compliance-Leitfaden. Kurz gesagt: Unter MiCAR haben Kartenanbieter klare Pflichten im Zahlungsverkehr, doch bei Szenarien wie “vom Nutzer selbstverwahrte On-Chain-Gelder werden angegriffen” hängt die Erstattungsverantwortung derzeit eher von der freiwilligen Zusage des Kartenanbieters ab als von gesetzlicher Verpflichtung – genau deshalb ist das Versprechen von Gnosis so bedeutsam und muss so genau beobachtet werden.

Wichtige Meilensteine, die es zu beobachten gilt

Redaktionelle Empfehlung

Auf den Punkt gebracht: On-Chain-Karten haben “Sicherheit” zu ihrem Verkaufsargument gemacht – doch Sicherheit ist ein Prozess, der fortlaufend bewiesen werden muss, kein Slogan. Eine versprochene Erstattung ist eine gute Nachricht, doch erst die tatsächlich erfolgte Erstattung ist die Antwort.