Współzałożyciel Gnosis potwierdził, że Gnosis Pay padł ofiarą exploitu, i publicznie obiecał pokrycie całości strat użytkowników (100%). Według doniesień CriptoNoticias, na moment publikacji Gnosis nie ujawnił ani skradzionej kwoty, ani mechanizmu i harmonogramu wypłaty rekompensat. Gnosis Pay to samowiadocznościowa karta debetowa Visa oparta na Gnosis Chain, której główną cechą jest to, że “saldo karty przechowywane jest przez użytkownika w portfelu on-chain” — i właśnie ta konstrukcja jest kluczowa w kontekście tego zdarzenia.
Interpretacja redakcji: wskazano ryzyko na “warstwie smart kontraktów” kart on-chain
Zacznijmy od wniosku: tym razem ucierpiała nie karta z centralnym powiernictwem, lecz produkt, który swój “atut bezpieczeństwa” zbudował na smart kontraktach i kontach on-chain. Wartość ostrzegawcza tego zdarzenia dla użytkowników kart USDT jest znacznie wyższa niż samo “kolejna karta zhakowana”.
Głównym przekazem Gnosis Pay jest to, że “twoje pieniądze są w twoim własnym portfelu Safe, wydawca karty ich nie dotyka”. Teoretycznie jest to bezpieczniejsze niż rozwiązania powiernicze; ale kosztem jest to, że powierzchnia ataku przenosi się z “serwerów wydawcy karty” na “smart kontrakty + autoryzacje twojego portfela”. Gdy w kontrakcie lub logice autoryzacji pojawi się exploit, przewaga samowiadocznościowości w mgnieniu oka zamienia się w wadę.
Którzy użytkownicy powinni natychmiast zwrócić na to uwagę?
- Użytkownicy jakiejkolwiek samowiadocznościowej karty / karty z podpisem on-chain: w tym OneKey Card, Ledger Crypto Life — produkty, w których źródłem środków jest portfel sprzętowy lub konto on-chain. To zdarzenie nie dotyczy ich bezpośrednio, ale to samo ryzyko architektoniczne warto sprawdzić poprzez ponowną weryfikację zapisów autoryzacji kontraktów (approval).
- Użytkownicy kart USDT z powiernictwem: takich jak Bybit Card, MPCard, gdzie środki są przechowywane przez wydawcę/giełdę — to zdarzenie nie ma bezpośredniego wpływu technicznego — nie posiadasz żadnych autoryzacji związanych z Gnosis.
Oczekiwania na 7 / 30 / 90 dni: w ciągu 7 dni obserwuj, czy Gnosis ujawni skradzioną kwotę i szczegóły rekompensaty; w ciągu 30 dni nastąpi kluczowe okno na realizację wypłat (historycznie dystans między “obiecaną rekompensatą” a “wypłaconą rekompensatą” bywa niedoceniany); w ciągu 90 dni obserwuj, czy Gnosis Pay opublikuje raport z audytu po zdarzeniu.
Historyczne porównanie: obietnica rekompensaty ≠ wypłacona rekompensata
Zestawienie tego zdarzenia z dwoma dawnymi przypadkami pomaga lepiej zrozumieć sytuację.
W marcu 2023 roku USDC krótkotrwale odchylił się od parytetu do poziomu około 0,87 z powodu ryzyka związanego z Silicon Valley Bank. Circle wówczas szybko obiecał “pełną wymianę” i dotrzymał słowa po ustabilizowaniu sytuacji bankowej — to była obietnica oparta na transparentnych rezerwach i jasnym mechanizmie. Tymczasem obecna obietnica Gnosis nie zawiera ujawnienia kwoty ani mechanizmu — to kluczowa różnica: gdy firma mówi “pokryjemy wszystkie straty”, nie podając ile, jakimi środkami i kiedy trafią do użytkowników, wiarygodność obietnicy można zweryfikować dopiero po jej wykonaniu.
Innym punktem odniesienia są przypadki “rekompensat ze skarbca zarządzania” po atakach na niektóre protokoły DeFi w 2024 roku — w znacznej części z nich ostatecznie zrealizowano jedynie częściową rekompensatę lub wypłacono ją w tokenach zamiast oryginalnych aktywów. Podobieństwo: oba to produkty on-chain z publicznymi obietnicami rekompensaty. Różnica: Gnosis Pay bezpośrednio łączy się z realnym światem płatności (sieć Visa), a wśród jego użytkowników jest wielu niezwiązanych z DeFi klientów, traktujących ją jako codzienną kartę do wydatków — ich tolerancja na “ryzyko on-chain” jest znacznie niższa niż u graczy DeFi.
Perspektywa regulacyjna i zgodności: granice UE się zaostrzają
Gnosis Pay działa głównie na rynku europejskim, w ramach regulacji MiCAR oraz instytucji pieniądza elektronicznego (EMI). To zdarzenie trafia dokładnie w najbardziej wrażliwy dla regulatorów punkt: hybryda samowiadocznościowych środków i regulowanej sieci płatniczej wciąż znajduje się w Unii Europejskiej w szarej strefie, gdzie zasady nie są w pełni jasno określone. Sama karta (Visa) podlega ograniczeniom licencji EMI, ale odpowiedzialność za bezpieczeństwo bazowego konta on-chain w obecnych ramach prawnych pozostaje niejasna.
Czytelnicy zainteresowani granicami zgodności po stronie UE mogą zapoznać się z naszym przewodnikiem po zgodności UE. W skrócie: zgodnie z MiCAR wydawca karty ma jasne obowiązki w zakresie procesu płatności, ale scenariusze typu “zaatakowane środki on-chain przechowywane samodzielnie przez użytkownika” opierają się obecnie bardziej na dobrowolnych obietnicach wydawcy niż na prawnie wiążącym obowiązku — właśnie dlatego “obietnica” Gnosis jest tak ważna i wymaga tak dokładnego nadzoru.
Kluczowe punkty warte obserwacji w najbliższym czasie
- Ujawnienie skradzionej kwoty: czy Gnosis poda konkretną liczbę w ciągu tygodnia. Im dłużej kwota nie zostanie ujawniona, tym większy powód do ostrożności.
- Mechanizm rekompensaty: wypłata w oryginalnych aktywach czy w tokenach GNO? Jednorazowo czy w ratach? To zdecyduje, ile użytkownicy faktycznie odzyskają.
- Audyt po zdarzeniu: czy zatrudniona zostanie zewnętrzna firma bezpieczeństwa, która wyda raport i ujawni przyczynę źródłową (root cause).
- Reakcja regulatorów UE: czy jakiś organ nadzoru EMI wystąpi z pismem lub zapytaniem w tej sprawie — to będzie sygnał kierunkowy dla podobnych produktów.
Rekomendacje redakcji
- Obecni użytkownicy Gnosis Pay: przed ujawnieniem szczegółów rekompensaty zalecamy przeniesienie z portfela on-chain środków przekraczających bieżące potrzeby wydatkowe oraz sprawdzenie i odwołanie wszelkich niepotrzebnych autoryzacji kontraktów (approval). Nie utrzymuj wysokiego salda tylko dlatego, że obiecano “pełną rekompensatę”.
- Użytkownicy kart typu on-chain, takich jak OneKey Card, Ledger Crypto Life: to zdarzenie was nie dotyczy, ale to dobry moment na ponowną weryfikację autoryzacji kontraktów.
- Użytkownicy kart USDT z powiernictwem: nie musisz podejmować żadnych działań. Jeśli wahasz się między architekturą samowiadocznościową a powierniczą pod kątem bezpieczeństwa, możesz porównać różne podejścia w naszym rankingu Top 5 kart 2026 roku.
- Osoby planujące złożyć wniosek o Gnosis Pay: zalecamy odczekać 30 dni, aż wypłaty rekompensat zostaną zrealizowane, a raport z audytu opublikowany, zanim podejmiesz decyzję.
Jednym zdaniem: karty on-chain wpisały “bezpieczeństwo” w swój przekaz marketingowy, ale bezpieczeństwo to proces wymagający ciągłego udowadniania, a nie hasło. Obietnica rekompensaty to dobry początek — dopiero jej realizacja jest odpowiedzią.