Русский · 中文 · English

Gnosis Pay подверглась атаке хакеров, обещана полная компенсация — но беспокоиться стоит не только об этой карте

2026-06-02

Сооснователь Gnosis подтвердил, что Gnosis Pay подверглась эксплойту, и публично пообещал покрыть все убытки пользователей (100%). Согласно сообщению CriptoNoticias, на момент публикации Gnosis не раскрыла ни сумму похищенного, ни механизм и сроки компенсации. Gnosis Pay — это дебетовая карта Visa на самокастодиальной модели, работающая на базе Gnosis Chain, ключевая особенность которой — «баланс карты хранится пользователем в блокчейн-кошельке». Именно эта особенность оказалась в центре нынешнего инцидента.

Редакционная трактовка: риски “уровня смарт-контракта” в блокчейн-картах вышли на первый план

Сначала вывод: пострадал не кастодиальный продукт с централизованным хранением, а продукт, построивший своё «преимущество безопасности» на смарт-контрактах и блокчейн-счетах. Значимость этого события для держателей USDT-карт гораздо выше, чем просто «взломали ещё одну карту».

Ключевой посыл Gnosis Pay — «ваши деньги находятся в вашем собственном кошельке Safe, эмитент не может их коснуться». Теоретически это безопаснее кастодиальной схемы; но за это приходится платить тем, что поверхность атаки смещается с «серверов эмитента» на «смарт-контракты + разрешения (approval) вашего кошелька». Как только в контракте или логике разрешений возникает эксплойт, преимущество самокастодии мгновенно оборачивается недостатком.

Каким пользователям стоит обратить внимание немедленно?

Ожидания на 7 / 30 / 90 дней: в течение 7 дней следите, объявит ли Gnosis сумму похищенного и детали компенсации; 30 дней — ключевое окно для фактической выплаты («обещание компенсации» и «фактическая компенсация» — историческая дистанция между ними часто недооценивается); 90 дней — время наблюдать, опубликует ли Gnosis Pay отчёт о постинцидентном аудите.

Историческое сравнение: обещание компенсации ≠ выплаченная компенсация

Этот случай станет яснее, если сопоставить его с двумя прошлыми прецедентами.

В марте 2023 года USDC ненадолго отвязался от доллара до уровня около 0,87 из-за рисков, связанных с Silicon Valley Bank, и Circle тогда быстро пообещал «полное погашение», выполнив обещание после стабилизации банковской ситуации — это было обещание с прозрачными резервами и понятным механизмом. В нынешнем же случае обещание Gnosis не сопровождается раскрытием суммы и механизма, и это ключевое отличие: когда компания говорит «мы покроем все убытки», но не уточняет сколько, за счёт каких средств и когда это произойдёт, достоверность обещания можно проверить только по факту исполнения.

Другое сравнение — случаи «компенсации из казначейства управления» после атак на ряд DeFi-протоколов в 2024 году, значительная часть которых в итоге завершилась лишь частичной выплатой или выплатой токенами, а не исходными активами. Общее: оба случая — блокчейн-продукты с публичным обещанием компенсации. Различие: Gnosis Pay напрямую привязана к реальным платежам (сеть Visa), и среди её пользователей много не связанных с DeFi людей, использующих карту как средство повседневных трат — их терпимость к «рискам блокчейна» значительно ниже, чем у DeFi-энтузиастов.

Взгляд с точки зрения регулирования и комплаенса: границы в ЕС сужаются

Gnosis Pay ориентирована в основном на европейский рынок и работает в рамках регулирования MiCAR и EMI (учреждение электронных денег). Подобные инциденты попадают ровно в наиболее чувствительную для регуляторов зону: гибрид самокастодиальных средств и регулируемой платёжной сети сейчас находится в ЕС в серой зоне, где правила ещё не полностью определены. Сама карта (Visa) подчиняется лицензии EMI, но ответственность за безопасность базового блокчейн-счёта в текущей нормативной базе не прояснена.

Читателям, желающим разобраться в границах комплаенса в ЕС, рекомендуем наш гид по комплаенсу в ЕС. Кратко: согласно MiCAR, эмитент несёт чёткие обязательства за платёжный этап, но в сценариях вроде «атаки на самокастодиальные блокчейн-средства пользователя» ответственность за компенсацию сейчас в большей степени опирается на добровольные обязательства эмитента, а не на законодательное принуждение — именно поэтому «обещание» Gnosis настолько важно и требует контроля.

Ключевые моменты, за которыми стоит следить дальше

Рекомендации редакции

Одной фразой: блокчейн-карты сделали «безопасность» частью своего торгового предложения, но безопасность — это процесс, который нужно постоянно доказывать, а не лозунг. Обещание компенсации — это хорошо, но ответ даёт только её фактическое исполнение.