Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 282RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 280Smart-Contract-Bug

Gnosis Pay Zodiac Delay Module Exploit

Ein Fehler in der Signaturprüfung des Zodiac Delay Module ließ einen Angreifer Gnosis Pays Zeitsperre umgehen und rund 265.000 USD aus Nutzer-Safes abziehen.

Datum
Opfer
Gnosis Pay
Chain(s)
Gnosis Chain
Status
Mittel entwendet

Am 1. Juni 2026 erlitt Gnosis Pay einen aktiven Exploit, bei dem rund 265.000 US-Dollar in EURe und GNO aus Dutzenden Nutzer-Safes abflossen, nachdem ein Angreifer den Zeitverzögerungsschutz des Dienstes durch Ausnutzen eines Fehlers im Zodiac Delay Module umgangen hatte.

Was geschah

Gnosis Pay kapselt jedes selbstverwahrte Kartenkonto in eine Gnosis Safe, die durch ein Zodiac Delay Module geschützt ist — eine Zeitsperre, die ausgehende Transaktionen in eine Warteschlange stellen und vor der Ausführung gültige Signaturen verlangen soll. Der Exploit konzentrierte sich auf die Routine moduleTxSignedBy() des Moduls, die die Signaturkomponenten r, s und v direkt aus den msg.data-Calldata auslas — und zwar so, dass der Angreifer sie manipulieren konnte, um die Autorisierungsprüfung ohne gültige Signatur zu bestehen. Dadurch rutschten präparierte Transaktionen an der Verzögerung vorbei und zogen Mittel direkt aus den betroffenen Safes ab. Zodiac bestätigte später, dass der Fehler im Delay Module lag und dass die Kern-Verträge der Gnosis Safe nicht betroffen waren — eine Eindämmungslinie, die an den New Market Trading-Modul-Exploit Wochen zuvor erinnert, bei dem die Gefahr ebenfalls in Drittanbieter-Safe-Tooling und nicht in der Safe selbst lag.

Folgen

Mitgründer Martin Köppelmann bestätigte den Vorfall und sagte zu, dass Gnosis allen betroffenen Nutzern den Schaden ersetzen werde, während das Team Bridge-Validatoren bat, ihre Aktivität zu pausieren, um die Ausbreitung zu begrenzen. Gnosis Pay erklärte, der Vorfall sei bis zum 2. Juni vollständig eingedämmt und der Betrieb werde schrittweise wieder aufgenommen. Der Angreifer handelte jedoch schnell, um zu waschen: Rund 246.000 US-Dollar wurden Richtung Hyperliquid gebrückt und teils in Monero (XMR) getauscht, sodass die gestohlenen Mittel selbst nicht zurückgeholt wurden, obwohl die Nutzer entschädigt wurden.

Warum es wichtig ist

Der Gnosis-Pay-Vorfall zeigt, dass Sicherheitsmodule selbst eine Angriffsfläche sind — eine Zeitverzögerung, die mehr Sicherheit bringen sollte, wurde zum Single Point of Failure, sobald ihre Signaturauswertung manipulierbar war. Zusammen mit New Market Trading und dem TesseraDAO-Mint derselben Woche markiert er ein Anfang-Juni-2026-Cluster aus Safe-nahen und schlüsselgetriebenen Verlusten und untermauert eine wiederkehrende Lehre des Katalogs: angefügte Safe-Module besitzen volle Verfügungsgewalt über die Mittel und müssen ebenso rigoros auditiert werden wie der Tresor, den sie schützen.

Quellen & On-Chain-Belege

  1. [01]thedefiant.iohttps://thedefiant.io/news/hacks/gnosis-pay-hit-by-delay-module-exploit-as-gnosis-pledges-to-cover-user-losses
  2. [02]cryptotimes.iohttps://www.cryptotimes.io/2026/06/05/delay-module-trick-costs-gnosispay-265k-reports-certik/
  3. [03]cryptotimes.iohttps://www.cryptotimes.io/2026/06/03/zodiac-reveals-flaw-behind-gnosis-pay-exploit-safe-unaffected/
  4. [04]crypto.newshttps://crypto.news/gnosis-pay-exploit-tied-to-zodiac-delay-module-as-users-exit/

Verwandte Einträge