Português · 中文 · English

Gnosis Pay sofre ataque hacker e promete reembolso total — mas sua preocupação não deve se limitar a esse cartão

2026-06-02

O cofundador da Gnosis confirmou que a Gnosis Pay sofreu um exploit e prometeu publicamente cobrir 100% das perdas dos usuários. Segundo a reportagem da CriptoNoticias, até o fechamento desta matéria a Gnosis não havia divulgado nem o valor roubado, nem o mecanismo ou cronograma de reembolso. A Gnosis Pay é um cartão de débito Visa autocustodiado baseado na Gnosis Chain, cujo diferencial é “o saldo do cartão ficar na carteira on-chain do próprio usuário” — e é exatamente esse design que está no centro do incidente.

Análise editorial: o risco na “camada de contrato inteligente” dos cartões on-chain é apontado

Vamos direto ao ponto: o que foi comprometido desta vez não foi um cartão custodiado centralizado, mas sim um produto que construiu seu “diferencial de segurança” sobre contratos inteligentes e contas on-chain. O valor de alerta deste episódio para usuários de cartões USDT é muito maior do que “mais um cartão hackeado”.

A narrativa central da Gnosis Pay é “seu dinheiro está na sua própria carteira Safe, o emissor não tem acesso a ele”. Em teoria, isso é mais seguro do que um esquema custodiado; mas o custo é que a superfície de ataque se desloca “dos servidores do emissor” para “o contrato inteligente + as autorizações da sua carteira”. Assim que ocorre um exploit no contrato ou na lógica de autorização, a vantagem da autocustódia se transforma instantaneamente em desvantagem.

Quais usuários devem ficar atentos imediatamente?

Expectativas para 7 / 30 / 90 dias: nos próximos 7 dias, vale observar se a Gnosis divulgará o valor roubado e os detalhes do reembolso; os 30 dias seguintes são a janela crítica para a efetivação do reembolso (a distância entre “prometer reembolso” e “já reembolsado” costuma ser subestimada historicamente); em 90 dias, é preciso ver se a Gnosis Pay publicará um relatório de auditoria pós-incidente.

Comparação histórica: prometer reembolso ≠ reembolsar

Colocar este caso ao lado de dois precedentes ajuda a esclarecer o quadro.

Em março de 2023, o USDC perdeu brevemente sua paridade, caindo para cerca de 0,87, devido ao risco do Silicon Valley Bank. Na época, a Circle prometeu rapidamente “resgate integral” e cumpriu a promessa assim que a turbulência bancária se estabilizou — foi um compromisso com reservas transparentes e mecanismo claro. Já a promessa atual da Gnosis carece de divulgação de valor e mecanismo, e essa é a diferença mais relevante: quando uma empresa diz “cobriremos todas as perdas” sem especificar quanto, com quais recursos e quando, a credibilidade da promessa só pode ser validada pela execução.

Outro paralelo são os casos de “reembolso via tesouro de governança” de diversos protocolos DeFi atacados em 2024 — em boa parte deles, o reembolso acabou sendo parcial, ou feito em tokens em vez do ativo original. O que é semelhante: em ambos os casos são produtos on-chain com promessas públicas de reembolso. O que é diferente: a Gnosis Pay está diretamente vinculada a uma rede de pagamentos do mundo real (rede Visa), e sua base de usuários inclui muitos consumidores não nativos de DeFi que a utilizam como cartão de despesas do dia a dia — pessoas com tolerância muito menor ao “risco on-chain” do que os usuários DeFi tradicionais.

Perspectiva regulatória e de conformidade: as fronteiras na UE estão se estreitando

A Gnosis Pay atende principalmente ao mercado europeu, operando sob os regimes regulatórios MiCAR e de Instituição de Moeda Eletrônica (EMI). Esse tipo de incidente atinge exatamente o ponto mais sensível da regulação: o híbrido entre fundos autocustodiados e rede de pagamentos regulada ainda está em uma zona cinzenta, com regras não totalmente definidas na União Europeia. O cartão em si (Visa) está sujeito à licença EMI, mas a responsabilidade pela segurança da conta on-chain subjacente não é clara no arcabouço atual.

Leitores interessados nas fronteiras de conformidade na UE podem consultar nosso guia de conformidade da UE. Em resumo: sob o MiCAR, o emissor tem obrigações claras na etapa de pagamento, mas em cenários como “fundos on-chain autocustodiados sofrendo ataque”, a responsabilidade pelo reembolso hoje depende mais de compromissos voluntários do emissor do que de obrigação legal — e é exatamente por isso que a “promessa” da Gnosis é tão importante, e também precisa ser fiscalizada de perto.

Pontos-chave a observar daqui para frente

Recomendações editoriais

Em resumo: os cartões on-chain transformaram “segurança” em um argumento de venda, mas segurança é um processo que precisa ser continuamente comprovado, não um slogan. Prometer reembolso é positivo — mas cumprir a promessa é que dá a resposta.