Aller au contenu
Fondé MMXXVIVol. VI · № 286RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 281Bug de smart contract

Exploit du Zodiac Delay Module de Gnosis Pay

Une faille de vérification de signature du Zodiac Delay Module a permis de contourner le délai de Gnosis Pay et de drainer environ 265 000 dollars de Safes.

Date
Victime
Gnosis Pay
Chaîne(s)
Gnosis Chain
Statut
Fonds dérobés

Le 1er juin 2026, Gnosis Pay a subi un exploit actif qui a drainé environ 265 000 dollars en EURe et GNO de dizaines de Safes d'utilisateurs après qu'un attaquant a contourné la protection par délai du service en exploitant une faille du Zodiac Delay Module.

Ce qui s'est passé

Gnosis Pay enveloppe chaque compte de carte en auto-conservation dans un Gnosis Safe protégé par un Zodiac Delay Module — un verrou temporel censé mettre en file d'attente les transactions sortantes et exiger des signatures valides avant exécution. L'exploit s'est concentré sur la routine moduleTxSignedBy() du module, qui lisait les composantes de signature r, s et v directement dans les calldata de msg.data d'une manière que l'attaquant pouvait manipuler pour satisfaire la vérification d'autorisation sans signature légitime. Des transactions forgées ont ainsi pu échapper au délai et retirer des fonds directement des Safes touchées. Zodiac a confirmé par la suite que la faille résidait dans le Delay Module et que les contrats principaux de Gnosis Safe n'étaient pas affectés — une ligne de confinement qui rappelle l'exploit de module de New Market Trading quelques semaines plus tôt, où le danger se situait là encore dans un outillage Safe tiers et non dans le Safe lui-même.

Conséquences

Le cofondateur Martin Köppelmann a confirmé l'incident et promis que Gnosis indemniserait tous les utilisateurs affectés, tandis que l'équipe demandait aux validateurs de ponts de suspendre leur activité pour limiter la propagation. Gnosis Pay a déclaré que l'incident était entièrement maîtrisé le 2 juin et que les opérations reprendraient par phases. L'attaquant a toutefois agi vite pour blanchir : environ 246 000 dollars ont été transférés via un pont vers Hyperliquid et en partie convertis en Monero (XMR), de sorte que les fonds volés eux-mêmes n'ont pas été récupérés même si les utilisateurs ont été dédommagés. Au 7 juin, Gnosis Pay a indiqué avoir rétabli les services de carte pour plus de 99 % des utilisateurs, après avoir remplacé tous les comptes Safe affectés et les avoir re-liés aux cartes physiques et virtuelles existantes des utilisateurs.

Pourquoi c'est important

L'incident Gnosis Pay montre que les modules de sécurité constituent eux-mêmes une surface d'attaque — un délai censé renforcer la sécurité est devenu le point unique de défaillance dès lors que son analyse des signatures pouvait être détournée. Avec New Market Trading et le mint TesseraDAO de la même semaine, il marque un groupe de pertes de début juin 2026 liées à Safe et aux clés, et confirme une leçon récurrente du catalogue : les modules greffés sur Safe disposent d'un plein pouvoir sur les actifs et doivent être audités aussi rigoureusement que le coffre qu'ils protègent.

Sources & preuves on-chain

  1. [01]thedefiant.iohttps://thedefiant.io/news/hacks/gnosis-pay-hit-by-delay-module-exploit-as-gnosis-pledges-to-cover-user-losses
  2. [02]cryptotimes.iohttps://www.cryptotimes.io/2026/06/05/delay-module-trick-costs-gnosispay-265k-reports-certik/
  3. [03]cryptotimes.iohttps://www.cryptotimes.io/2026/06/03/zodiac-reveals-flaw-behind-gnosis-pay-exploit-safe-unaffected/
  4. [04]crypto.newshttps://crypto.news/gnosis-pay-exploit-tied-to-zodiac-delay-module-as-users-exit/
  5. [05]cryptotimes.iohttps://www.cryptotimes.io/2026/06/07/gnosis-pay-restores-card-services-for-99-of-users-after-exploit/

Dépôts liés