O cofundador da Gnosis confirmou que a Gnosis Pay sofreu um exploit e prometeu publicamente cobrir 100% das perdas dos usuários. Segundo a reportagem da CriptoNoticias, até o fechamento desta matéria a Gnosis não havia divulgado nem o valor roubado, nem o mecanismo ou cronograma de reembolso. A Gnosis Pay é um cartão de débito Visa autocustodiado baseado na Gnosis Chain, cujo diferencial é “o saldo do cartão ficar na carteira on-chain do próprio usuário” — e é exatamente esse design que está no centro do incidente.
Análise editorial: o risco na “camada de contrato inteligente” dos cartões on-chain é apontado
Vamos direto ao ponto: o que foi comprometido desta vez não foi um cartão custodiado centralizado, mas sim um produto que construiu seu “diferencial de segurança” sobre contratos inteligentes e contas on-chain. O valor de alerta deste episódio para usuários de cartões USDT é muito maior do que “mais um cartão hackeado”.
A narrativa central da Gnosis Pay é “seu dinheiro está na sua própria carteira Safe, o emissor não tem acesso a ele”. Em teoria, isso é mais seguro do que um esquema custodiado; mas o custo é que a superfície de ataque se desloca “dos servidores do emissor” para “o contrato inteligente + as autorizações da sua carteira”. Assim que ocorre um exploit no contrato ou na lógica de autorização, a vantagem da autocustódia se transforma instantaneamente em desvantagem.
Quais usuários devem ficar atentos imediatamente?
- Usuários de qualquer cartão autocustodiado / com assinatura on-chain: incluindo produtos como OneKey Card e Ledger Crypto Life, que usam carteiras de hardware ou contas on-chain como fonte dos fundos. Este incidente não os afeta diretamente, mas o mesmo tipo de risco arquitetural vale a pena revisar — confira seu histórico de autorizações (approvals) de contrato.
- Usuários de cartões USDT custodiados: esquemas como Bybit Card e MPCard, em que os fundos ficam custodiados pelo emissor/exchange, não sofrem impacto técnico direto deste incidente — você não possui nenhuma autorização relacionada à Gnosis.
Expectativas para 7 / 30 / 90 dias: nos próximos 7 dias, vale observar se a Gnosis divulgará o valor roubado e os detalhes do reembolso; os 30 dias seguintes são a janela crítica para a efetivação do reembolso (a distância entre “prometer reembolso” e “já reembolsado” costuma ser subestimada historicamente); em 90 dias, é preciso ver se a Gnosis Pay publicará um relatório de auditoria pós-incidente.
Comparação histórica: prometer reembolso ≠ reembolsar
Colocar este caso ao lado de dois precedentes ajuda a esclarecer o quadro.
Em março de 2023, o USDC perdeu brevemente sua paridade, caindo para cerca de 0,87, devido ao risco do Silicon Valley Bank. Na época, a Circle prometeu rapidamente “resgate integral” e cumpriu a promessa assim que a turbulência bancária se estabilizou — foi um compromisso com reservas transparentes e mecanismo claro. Já a promessa atual da Gnosis carece de divulgação de valor e mecanismo, e essa é a diferença mais relevante: quando uma empresa diz “cobriremos todas as perdas” sem especificar quanto, com quais recursos e quando, a credibilidade da promessa só pode ser validada pela execução.
Outro paralelo são os casos de “reembolso via tesouro de governança” de diversos protocolos DeFi atacados em 2024 — em boa parte deles, o reembolso acabou sendo parcial, ou feito em tokens em vez do ativo original. O que é semelhante: em ambos os casos são produtos on-chain com promessas públicas de reembolso. O que é diferente: a Gnosis Pay está diretamente vinculada a uma rede de pagamentos do mundo real (rede Visa), e sua base de usuários inclui muitos consumidores não nativos de DeFi que a utilizam como cartão de despesas do dia a dia — pessoas com tolerância muito menor ao “risco on-chain” do que os usuários DeFi tradicionais.
Perspectiva regulatória e de conformidade: as fronteiras na UE estão se estreitando
A Gnosis Pay atende principalmente ao mercado europeu, operando sob os regimes regulatórios MiCAR e de Instituição de Moeda Eletrônica (EMI). Esse tipo de incidente atinge exatamente o ponto mais sensível da regulação: o híbrido entre fundos autocustodiados e rede de pagamentos regulada ainda está em uma zona cinzenta, com regras não totalmente definidas na União Europeia. O cartão em si (Visa) está sujeito à licença EMI, mas a responsabilidade pela segurança da conta on-chain subjacente não é clara no arcabouço atual.
Leitores interessados nas fronteiras de conformidade na UE podem consultar nosso guia de conformidade da UE. Em resumo: sob o MiCAR, o emissor tem obrigações claras na etapa de pagamento, mas em cenários como “fundos on-chain autocustodiados sofrendo ataque”, a responsabilidade pelo reembolso hoje depende mais de compromissos voluntários do emissor do que de obrigação legal — e é exatamente por isso que a “promessa” da Gnosis é tão importante, e também precisa ser fiscalizada de perto.
Pontos-chave a observar daqui para frente
- Divulgação do valor roubado: se a Gnosis apresentará um número concreto dentro de uma semana. Quanto mais tempo demorar a divulgação, mais atenção o caso merece.
- Mecanismo de reembolso: reembolso no ativo original ou em tokens GNO? Em parcelas ou de uma vez? Isso determina quanto o usuário efetivamente recupera.
- Auditoria pós-incidente: se uma empresa terceira de segurança será contratada para emitir um relatório com a causa raiz divulgada publicamente.
- Reação regulatória da UE: se algum órgão regulador EMI emitirá comunicado ou pedido de esclarecimento sobre o caso — isso servirá de indicador para produtos semelhantes.
Recomendações editoriais
- Usuários atuais da Gnosis Pay: até que os detalhes do reembolso sejam divulgados, recomenda-se retirar da carteira on-chain qualquer saldo além do necessário para despesas de curto prazo, além de revisar e revogar autorizações (approvals) de contrato desnecessárias. Não mantenha saldo elevado apenas por confiar na “promessa de reembolso total”.
- Usuários de cartões on-chain como OneKey Card e Ledger Crypto Life: este incidente não os afeta, mas é um bom momento para revisar suas autorizações de contrato.
- Usuários de cartões USDT custodiados: nenhuma ação é necessária. Se você está em dúvida entre autocustódia e custódia por questões de segurança, pode comparar as diferentes arquiteturas na nossa lista Top 5 cartões de 2026.
- Usuários planejando solicitar a Gnosis Pay: recomenda-se aguardar 30 dias, até que o reembolso seja efetivado e o relatório de auditoria seja publicado, antes de decidir se vale a pena entrar.
Em resumo: os cartões on-chain transformaram “segurança” em um argumento de venda, mas segurança é um processo que precisa ser continuamente comprovado, não um slogan. Prometer reembolso é positivo — mas cumprir a promessa é que dá a resposta.