Arturo Trenard
Exploit en Gnosis Pay: hackeo al módulo de retardo desata crisis de seguridad mientras el equipo promete cubrir pérdidas
Gnosis está trabajando para contener un exploit que afecta a su producto Gnosis Pay desde este lunes, luego de que el cofundador Martin Köppelmann reconociera un hackeo activo que involucra el módulo de retardo del sistema. Köppelmann prometió que el proyecto cubrirá las pérdidas de los usuarios, aunque inicialmente instó a retirar fondos, advertencia que luego retiró. El incidente deja preguntas clave sin respuesta, incluyendo el monto total robado, qué contratos o usuarios están afectados, y si el problema radica en el módulo Zodiac, su configuración en Gnosis Pay o una falla arquitectónica más amplia.
Contexto: Gnosis Pay y antecedentes de seguridad
Gnosis Pay es un producto de pagos basado en blockchain desarrollado por Gnosis, un proyecto con larga trayectoria en el ecosistema Ethereum. La plataforma es conocida por su infraestructura de wallets de contratos inteligentes y por Gnosis Chain, una red compatible con la Máquina Virtual de Ethereum (EVM) diseñada para pagos y finanzas descentralizadas (DeFi). Gnosis Pay utiliza cuentas Safe (anteriormente Gnosis Safe) para ofrecer autocustodia de fondos a sus usuarios.
Este incidente se suma a un ataque reciente que afectó a un módulo de terceros conectado a Safe. En ese caso, un exploit en el contrato SquidRouterModule drenó aproximadamente 3,2 millones de dólares de 86 cuentas Safe en Ethereum y Base. Safe Labs y Squid afirmaron entonces que la vulnerabilidad estaba fuera de sus protocolos centrales.
El contexto más amplio del mercado de exploits en 2026 muestra una tendencia a la baja. Según datos de la firma de seguridad CertiK, las pérdidas totales por exploits en mayo de 2026 cayeron a aproximadamente 68,3 millones de dólares, lo que representa una disminución del 90% respecto a abril. Mayo fue el tercer mes del año con pérdidas por debajo de los 100 millones de dólares.
Cronología del exploit y mecanismo del ataque
El incidente comenzó el lunes, cuando Köppelmann reconoció públicamente un hackeo activo en el sistema que involucra el «delay module» o módulo de retardo. Inicialmente, el cofundador urgió a los usuarios a retirar sus fondos, y la firma de seguridad blockchain PeckShield amplificó el mensaje, señalando que era «fuertemente recomendado retirar todos los fondos (EURe y GNO) y verificar exposición».
Sin embargo, horas después, Köppelmann eliminó su tuit inicial y advirtió que la mayoría de los usuarios no podrían retirar sus fondos. El equipo, según sus declaraciones, «está trabajando activamente para contener el daño» y prometió «hacer enteros» a los usuarios afectados.
Vadim Zacodil, exdesarrollador central de Near Protocol, ofreció un análisis técnico del mecanismo del exploit. Según Zacodil, el diseño de Gnosis Pay enruta la autocustodia del usuario a través de una capa de «retardo» compartida. Esta capa encola transacciones salientes de múltiples cuentas Safe simultáneamente. Un bug o exploit en esa capa puede insertar retiros maliciosos en las colas de miles de usuarios a la vez, sin que las claves individuales se muevan.
“En la práctica, lo que protege a los usuarios no son las cuentas Safe autocustodiadas, sino la capacidad de Gnosis de pausar la infraestructura y comprometer fondos de tesorería para cubrir pérdidas”.
Preguntas sin respuesta
Hasta el momento, no existe una cifra oficial del monto robado. Tampoco se ha especificado qué contratos o usuarios están afectados, ni se ha determinado si el exploit se originó en el módulo Zodiac en sí, en su configuración específica dentro de Gnosis Pay o si se trata de una falla arquitectónica más amplia. El alcance geográfico y temporal del ataque también permanece sin confirmar. Cointelegraph contactó a Gnosis y Gnosis Pay para obtener comentarios, pero no recibió respuesta al momento de publicación.
Reacciones del equipo y la comunidad
Martin Köppelmann ha sido la principal voz oficial en el incidente. En sus declaraciones públicas, el cofundador reconoció el hackeo activo, prometió cubrir las pérdidas de los usuarios y confirmó que el equipo «trabaja activamente para contener el daño». La comunidad de seguridad ha reaccionado con escepticismo. PeckShield, que inicialmente amplificó la advertencia de retirar fondos, ha guardado silencio tras el cambio de postura de Köppelmann. El análisis de Zacodil ha generado dudas sobre si la promesa de reembolso implica que los fondos de tesorería de Gnosis son suficientes para cubrir las pérdidas.
La contradicción en la comunicación —primero instando a retirar fondos, luego retirando la advertencia— ha generado incertidumbre entre los usuarios. Además, el incidente cuestiona la naturaleza «autocustodiada» de las cuentas Safe dentro de Gnosis Pay, lo que podría afectar la adopción futura del protocolo y de proyectos similares.
Implicaciones para el ecosistema Safe y lecciones de seguridad
Safe es una infraestructura crítica para muchas aplicaciones descentralizadas (dApps) y protocolos DeFi. Dos exploits consecutivos —primero el SquidRouterModule y ahora Gnosis Pay— podrían erosionar la confianza en los módulos de terceros. El incidente plantea interrogantes sobre si los protocolos deben reconsiderar el diseño de capas de retardo compartidas.
La autocustodia teórica puede verse comprometida si existen capas intermedias de procesamiento que actúan como cuellos de botella o puntos únicos de fallo. La capacidad de Gnosis para pausar su infraestructura de forma centralizada, aunque efectiva para contener el daño, plantea una paradoja: ¿se trata de una medida de seguridad o de una forma de centralización que contradice los principios de DeFi?
El incidente subraya la importancia de realizar auditorías exhaustivas en módulos de retardo y sistemas de colas, así como de establecer planes de contingencia claros ante eventuales exploits.
Datos clave del incidente
| Dato | Valor |
|---|---|
| Monto robado en el exploit de Gnosis Pay | No confirmado |
| Monto robado en exploit previo de Safe/SquidRouterModule | ~3,2 millones de dólares |
| Número de cuentas Safe afectadas en exploit previo | 86 |
| Pérdidas totales por exploits en mayo 2026 | ~68,3 millones de dólares |
| Caída porcentual respecto a abril 2026 | 90% |
| Meses en 2026 con pérdidas inferiores a 100 millones | 3 (incluyendo mayo) |
La comunidad permanece a la espera de más información oficial mientras el equipo de Gnosis continúa trabajando para contener el daño y determinar el alcance real del exploit. La promesa de reembolsos, aunque tranquilizadora para los usuarios afectados, deja abierta la pregunta de si los fondos de tesorería del proyecto serán suficientes para cubrir todas las pérdidas.
