Saltar al contenido
Est. MMXXVIVol. VI · № 282RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 280Fallo de smart contract

Exploit del Zodiac Delay Module de Gnosis Pay

Un fallo en la verificación de firmas del Zodiac Delay Module permitió eludir el retardo de Gnosis Pay y drenar unos 265.000 dólares de Safes de usuarios.

Fecha
Víctima
Gnosis Pay
Cadena(s)
Gnosis Chain
Estado
Fondos robados

El 1 de junio de 2026, Gnosis Pay sufrió un exploit activo que drenó unos 265.000 dólares en EURe y GNO de decenas de Safes de usuarios después de que un atacante eludiera la salvaguarda de retardo del servicio abusando de un fallo en el Zodiac Delay Module.

Qué ocurrió

Gnosis Pay envuelve cada cuenta de tarjeta autocustodiada en un Gnosis Safe protegido por un Zodiac Delay Module — un bloqueo temporal que debe poner en cola las transacciones salientes y exigir firmas válidas antes de su ejecución. El exploit se centró en la rutina moduleTxSignedBy() del módulo, que leía los componentes de firma r, s y v directamente de los calldata de msg.data de una forma que el atacante podía manipular para superar la comprobación de autorización sin una firma legítima. Esto permitió que transacciones manipuladas burlaran el retardo y extrajeran fondos directamente de los Safes afectados. Zodiac confirmó después que el fallo residía en el Delay Module y que los contratos centrales de Gnosis Safe no se vieron afectados — una línea de contención que recuerda al exploit de módulo de New Market Trading semanas antes, donde el peligro estaba de nuevo en herramientas de Safe de terceros y no en el propio Safe.

Consecuencias

El cofundador Martin Köppelmann confirmó el incidente y prometió que Gnosis resarciría a todos los usuarios afectados, mientras el equipo pedía a los validadores de puentes que pausaran su actividad para limitar la propagación. Gnosis Pay afirmó que el incidente quedó totalmente contenido el 2 de junio y que las operaciones se reanudarían por fases. El atacante, no obstante, actuó con rapidez para blanquear: unos 246.000 dólares se transfirieron mediante puente hacia Hyperliquid y se cambiaron en parte por Monero (XMR), de modo que los fondos robados en sí no se recuperaron aunque los usuarios fueran compensados.

Por qué importa

El incidente de Gnosis Pay demuestra que los módulos de seguridad son ellos mismos superficie de ataque — un retardo pensado para añadir seguridad se convirtió en el único punto de fallo cuando su análisis de firmas pudo ser manipulado. Junto con New Market Trading y la acuñación de TesseraDAO de la misma semana, marca un grupo de pérdidas de principios de junio de 2026 ligadas a Safe y a claves, y refuerza una lección recurrente del catálogo: los módulos añadidos a Safe poseen plena autoridad sobre los activos y deben auditarse con el mismo rigor que la bóveda que protegen.

Fuentes y evidencia on-chain

  1. [01]thedefiant.iohttps://thedefiant.io/news/hacks/gnosis-pay-hit-by-delay-module-exploit-as-gnosis-pledges-to-cover-user-losses
  2. [02]cryptotimes.iohttps://www.cryptotimes.io/2026/06/05/delay-module-trick-costs-gnosispay-265k-reports-certik/
  3. [03]cryptotimes.iohttps://www.cryptotimes.io/2026/06/03/zodiac-reveals-flaw-behind-gnosis-pay-exploit-safe-unaffected/
  4. [04]crypto.newshttps://crypto.news/gnosis-pay-exploit-tied-to-zodiac-delay-module-as-users-exit/

Registros relacionados