Français · 中文 · English

Gnosis Pay piraté, remboursement intégral promis — mais ce n'est pas la seule carte qui devrait vous inquiéter

2026-06-02

Le cofondateur de Gnosis a confirmé que Gnosis Pay a subi un exploit et a publiquement promis de couvrir l’intégralité des pertes des utilisateurs (100%). Selon le rapport de CriptoNoticias, à l’heure de la publication, Gnosis n’a divulgué ni le montant volé, ni le mécanisme de remboursement, ni le calendrier. Gnosis Pay est une carte de débit Visa auto-gérée (self-custody) basée sur la Gnosis Chain, dont l’argument principal est que « le solde de la carte est détenu par l’utilisateur dans un wallet on-chain » — un design qui est justement au cœur de cet incident.

Analyse éditoriale : le risque de la « couche smart contract » des cartes on-chain pointé du doigt

Commençons par la conclusion : ce qui a été touché ici n’est pas une carte en dépôt géré centralisé, mais un produit qui a fait de la sécurité un argument de vente en s’appuyant sur des smart contracts et des comptes on-chain. La valeur d’alerte de cet événement pour les utilisateurs de cartes USDT dépasse largement le simple fait qu’« une carte de plus s’est fait pirater ».

Le récit central de Gnosis Pay est que « votre argent est dans votre propre wallet Safe, l’émetteur n’y a pas accès ». En théorie, c’est plus sûr qu’une solution en dépôt géré ; mais le prix à payer, c’est que la surface d’attaque se déplace des « serveurs de l’émetteur » vers « les smart contracts + les autorisations de votre wallet ». Dès qu’un exploit survient dans le contrat ou dans la logique d’autorisation, l’avantage de l’auto-garde se retourne instantanément en désavantage.

Quels utilisateurs devraient s’en préoccuper immédiatement ?

Attentes à 7 / 30 / 90 jours : dans les 7 jours, surveiller si Gnosis publie le montant volé et les détails du remboursement ; dans les 30 jours, la fenêtre clé pour la concrétisation du remboursement (l’écart entre « promesse de remboursement » et « remboursement effectué » est historiquement souvent sous-estimé) ; dans les 90 jours, observer si Gnosis Pay publie un rapport d’audit post-incident.

Comparaison historique : promettre un remboursement ≠ rembourser effectivement

Mettre cet incident en parallèle avec deux précédents permet d’y voir plus clair.

En mars 2023, l’USDC s’était brièvement décroché à environ 0,87 en raison du risque lié à la Silicon Valley Bank ; Circle avait alors rapidement promis un « remboursement intégral » et avait tenu parole une fois la crise bancaire apaisée — c’était une promesse avec des réserves transparentes et un mécanisme clair. La promesse de Gnosis cette fois-ci manque de divulgation du montant et du mécanisme, ce qui est la différence essentielle : quand une entreprise dit « nous couvrirons toutes les pertes » sans préciser combien, avec quels fonds, ni à quelle échéance, la crédibilité de la promesse ne peut être validée que par l’exécution.

Autre point de comparaison : plusieurs cas de « remboursement via trésorerie de gouvernance » de protocoles DeFi piratés en 2024 — dont une proportion importante n’a finalement abouti qu’à un remboursement partiel, ou à un remboursement en tokens plutôt qu’en actif d’origine. Points communs : produits on-chain, promesse de remboursement publique dans les deux cas. Différences : Gnosis Pay est directement rattaché à un réseau de paiement du monde réel (réseau Visa), et sa base d’utilisateurs compte de nombreux utilisateurs non natifs de la DeFi qui utilisent la carte pour leurs dépenses quotidiennes — leur tolérance au « risque on-chain » est bien plus faible que celle des utilisateurs DeFi.

Perspective réglementaire et de conformité : les frontières européennes se resserrent

Gnosis Pay cible principalement le marché européen et opère dans le cadre réglementaire MiCAR et EMI (établissement de monnaie électronique). Ce type d’incident se situe précisément à l’endroit le plus sensible pour les régulateurs : l’hybride entre fonds auto-gérés et réseau de paiement réglementé se trouve encore, dans l’UE, dans une zone grise où les règles ne sont pas totalement clarifiées. La carte elle-même (Visa) est encadrée par la licence EMI, mais la responsabilité en matière de sécurité du compte on-chain sous-jacent n’est pas clairement définie dans le cadre actuel.

Les lecteurs souhaitant en savoir plus sur les frontières réglementaires côté UE peuvent consulter notre guide de conformité UE. En résumé : sous MiCAR, l’émetteur a des obligations claires concernant le volet paiement, mais pour un scénario tel que « les fonds on-chain auto-gérés par l’utilisateur sont attaqués », la responsabilité du remboursement dépend aujourd’hui davantage d’un engagement volontaire de l’émetteur que d’une obligation légale — c’est précisément pourquoi la « promesse » de Gnosis est si importante, et doit être surveillée de si près.

Points clés à surveiller par la suite

Recommandations éditoriales

En résumé : les cartes on-chain ont fait de la « sécurité » un argument de vente, mais la sécurité est un processus qui doit être démontré en continu, pas un simple slogan. Promettre un remboursement est une bonne chose ; le tenir effectivement en est la véritable réponse.