Hackeo de Gnosis Pay: Qué pasó, cómo funcionó y cómo proteger tus criptos

Hackeo de Gnosis Pay: Qué pasó, cómo funcionó y cómo proteger tus criptos

Si usas una tarjeta de débito cripto, el hackeo de Gnosis Pay de junio de 2026 es algo que deberías conocer. En torno al 1 de junio de 2026, Gnosis Pay detectó un exploit activo dirigido al Delay Module, un componente de contrato inteligente diseñado para proteger los fondos de los usuarios. El ataque provocó el vaciado de fondos de decenas de Safes, con pérdidas totales estimadas en aproximadamente 265.000 $ en EURe y GNO. La confianza de los usuarios se vio afectada, y el incidente puso el foco en los riesgos de seguridad específicos que conlleva vincular una tarjeta de débito a una wallet on-chain.

Este artículo analiza la mecánica del exploit de Gnosis Pay, la vulnerabilidad del Delay Module en su origen, la respuesta de Gnosis y las mejores prácticas de seguridad para wallets cripto que deberías seguir a partir de ahora. También explica cómo la seguridad de las wallets MPC —la arquitectura que usa Bleap para su Mastercard autocustodiada— elimina exactamente el tipo de punto único de fallo que este hackeo aprovechó.

Tu tarjeta de gasto en cripto debería proteger tus fondos, no ponerlos en riesgo. La Mastercard autocustodiada de Bleap usa seguridad de wallet MPC, no módulos de retardo de contratos inteligentes, para que tú tengas el control. 0% de comisiones en divisas, hasta un 20% de cashback, sin suscripción mensual. Descubre cómo funciona Bleap →

1. El hackeo de Gnosis Pay de junio de 2026: ¿Qué pasó?

El cofundador y CEO de Gnosis, Martin Koppelmann, confirmó el exploit activo en X el 1 de junio de 2026. El exploit se originó en una vulnerabilidad del Delay Module, que permitió a los atacantes iniciar transacciones no autorizadas. El 29 de mayo, el atacante desplegó primero 41 contratos de ataque especializados, y la explotación principal tuvo lugar el 1 de junio en torno a las 5:26 AM.

Como parte de las medidas de contención, Gnosis pidió a los validadores del puente que pausaran las operaciones mientras los investigadores y los equipos forenses coordinaban la respuesta. Koppelmann instó inicialmente a los usuarios a retirar los fondos afectados en EURe y GNO, pero más tarde retiró la recomendación, reconociendo que la mayoría de los usuarios no podría recuperar los fondos debido a la naturaleza del exploit. Aseguró a los usuarios que Gnosis cubriría íntegramente cualquier pérdida económica sufrida.

¿Quiénes se vieron afectados?

Gnosis Pay ofrece una tarjeta de débito Visa vinculada directamente a las wallets de contrato inteligente Gnosis Safe de los usuarios, lo que permite gastar stablecoins como EURe sin renunciar a la custodia. El exploit afectó a las cuentas Safe vinculadas a la tarjeta, pero no impactó a la infraestructura general de Gnosis Safe ni a la propia Gnosis Chain. Los titulares de tarjeta activos con saldos de EURe y GNO en sus Safes vinculados estaban en riesgo. En cifras globales, Gnosis Pay había procesado más de 100 millones de dólares en volumen total, más de 1,6 millones de transacciones y más de 50.000 cuentas desplegadas.

2. Cómo funcionó el exploit del Delay Module

Desglose técnico de la vulnerabilidad del Delay Module

El Zodiac Delay Module está diseñado para imponer un período de espera entre la aprobación y la ejecución de una transacción, dando tiempo para detectar y bloquear actividad no autorizada. En condiciones normales, el módulo de retardo pone en cola las transacciones salientes durante 3 minutos para garantizar la precisión de la liquidación y evitar retiradas no autorizadas inmediatas.

Los atacantes encontraron la forma de sortear esta salvaguarda. Según el informe de CertiK, el exploit se centró en un fallo de verificación de firmas dentro del Delay Module de GnosisPay. El atacante aprovechó la manera en que la función moduleTxSignedBy() del módulo analiza los valores r, s y v del calldata de msg.data. Los contratos de ataque estaban diseñados para devolver siempre el valor mágico EIP-1271 al ser llamados mediante isValidSignature(), suplantando eficazmente a firmantes legítimos sin aportar prueba criptográfica válida.

Al manipular el valor r, se engañó al sistema para que aceptara la transacción maliciosa. Tras el período de enfriamiento obligatorio impuesto por el Delay Module, el atacante ejecutó las transacciones en cola en torno a las 5:57 AM, transfiriendo EURe y GNO desde los Gnosis Safes de las víctimas directamente a wallets controladas por el atacante.

La conclusión clave: los Gnosis Safes no se vieron comprometidos mediante el robo directo de claves, sino a través de un sutil fallo en un mecanismo de retardo integrado. Este ataque demuestra cómo incluso los protocolos consolidados pueden ser víctimas de la manipulación avanzada de calldata y de la omisión de la validación de firmas EIP-1271.

3. Por qué las wallets cripto vinculadas a tarjetas de débito conllevan riesgos de seguridad únicos

El incidente de Gnosis Pay ilustra una categoría específica de riesgo. El incidente es especialmente delicado porque Gnosis Pay vincula cuentas Safe autocustodiadas al gasto con tarjeta. Cuando una wallet está siempre conectada a una tarjeta de pago, crea una superficie de ataque persistente que los sistemas de almacenamiento en frío estándar simplemente no tienen.

Las cuentas de Gnosis Pay dependen de 2 módulos principales: el Delay Module y el Roles Module. Si bien estas funciones mejoran la funcionalidad, también introducen vectores de ataque adicionales. Los permisos de gasto, la autoridad de firma delegada y las transacciones frecuentes de bajo valor pueden enmascarar actividad maliciosa. El módulo de retardo Zodiac fue comprometido de tal manera que permitió al atacante introducir transacciones en las colas de muchas wallets simultáneamente.

Por eso la arquitectura de seguridad de tu tarjeta de gasto cripto importa más que las funcionalidades de conveniencia. Una tarjeta que depende de módulos de contratos inteligentes para el control de acceso conlleva riesgos fundamentalmente distintos a una que usa firma criptográfica off-chain, como la MPC.

4. La respuesta de Gnosis e incidentes de seguridad previos

Compromiso de cubrir las pérdidas de los usuarios

Koppelmann confirmó el exploit activo el 1 de junio declarando: «Desafortunadamente, hay un hackeo relacionado con Gnosis Pay y el "delay module". Por favor, tengan paciencia mientras intentamos contener el daño. Tengan la seguridad de que Gnosis cubrirá todas las pérdidas de los usuarios.»

El 2 de junio, Gnosis Pay comunicó que el incidente había quedado completamente contenido y que las operaciones comenzarían a reanudarse por fases. Cada usuario recibiría un nuevo Safe vinculado a la tarjeta conectado a su tarjeta e identidad existentes, y los nuevos Safes de los usuarios afectados serían dotados con su saldo original. Para el 7 de junio, Gnosis Pay había restaurado las operaciones normales de la tarjeta para más del 99% de los usuarios.

Historial de vulnerabilidades

Este no fue un evento aislado. Menos de una semana antes, el 25 de mayo de 2026, un exploit separado vació 3,2 millones de dólares de 86 wallets Safe a través de un módulo de terceros malicioso llamado SquidRouterModule. La causa raíz se vinculó a fallos en los módulos Roles Modifier y Delay Modifier de Zodiac. Estos incidentes demuestran cómo incluso los módulos diseñados para mejorar la seguridad pueden convertirse en pasivos si son explotados.

La transparencia importa. Los usuarios de cualquier tarjeta de gasto cripto deben exigir auditorías de seguridad publicadas, protocolos claros de respuesta ante incidentes y una comunicación honesta cuando algo sale mal.

5. Pasos inmediatos para los usuarios afectados

Esto no es asesoramiento financiero. Si te has visto afectado, considera estos pasos prácticos:

• Revoca los permisos de gasto y desconecta cualquier dApp conectada a tu antiguo Gnosis Pay Safe de inmediato.
• Mueve los fondos restantes a una wallet separada y no comprometida. Los depósitos a direcciones antiguas de Gnosis Pay Safe, ya sea on-chain o mediante IBAN, se perderán de forma permanente.
• Activa todas las alertas disponibles y la 2FA en cada cuenta asociada.
• Sigue los canales oficiales de Gnosis Pay para obtener actualizaciones sobre reembolsos e instrucciones de migración. Las instrucciones claras se proporcionan directamente en la aplicación web de Gnosis Pay o en la wallet utilizada para acceder a la tarjeta.
• Documenta las pérdidas con marcas de tiempo y hashes de transacción para cualquier proceso de reclamación.

¿Buscas una tarjeta de gasto cripto con un modelo de seguridad diferente? La Mastercard autocustodiada de Bleap divide tu clave privada entre múltiples partes usando MPC. Sin un único módulo de contrato inteligente que explotar, sin riesgo de delay module. 0% de comisiones en divisas y hasta un 20% de cashback. Consigue la tarjeta Bleap →

6. Mejores prácticas generales de seguridad para activos cripto

Independientemente de qué tarjeta de gasto cripto o wallet uses, estos fundamentos aplican:

• Usa hardware wallets para el almacenamiento a largo plazo. Las hardware wallets siguen siendo la opción más segura para los titulares individuales de criptos en 2026. Mantén solo las cantidades de gasto en hot wallets.
• Audita regularmente las apps conectadas y revoca los permisos que no uses. El phishing sigue siendo el vector de ataque nº 1 en cripto, con tácticas cada vez más sofisticadas en 2026.
• Evita reutilizar frases semilla o claves privadas entre plataformas.
• Mantén actualizadas las software wallets y el firmware. Los parches de seguridad corrigen vulnerabilidades conocidas.
• Protege los activos cripto con autenticación multifactor en todos los sitios donde se ofrezca. Multiplica tus capas de defensa.

Cuando tu tarjeta de gasto forma parte de la ecuación, combina estos hábitos con una tarjeta que use un modelo de seguridad sólido. Bleap, por ejemplo, ofrece trading de criptos sin comisiones y una Mastercard autocustodiada con 0% de comisiones en divisas, pero el verdadero diferenciador es la arquitectura MPC que hay detrás.

7. Wallets custodiadas vs. no custodiadas: entender la diferencia de riesgo

Las wallets custodiadas delegan la gestión de claves a terceros. Si bien son cómodas, esto introduce riesgo de contraparte, ya que confías en las prácticas de seguridad y la solvencia del custodio. Si el custodio es hackeado o quiebra, tus fondos están en riesgo.

Las wallets no custodiadas te dan control total sobre las claves privadas. Sin embargo, esto pone toda la responsabilidad de seguridad sobre ti. Tú posees tus claves, pero también asumes el riesgo de bugs en contratos inteligentes, phishing o una seguridad operativa deficiente.

El exploit de Gnosis Pay se sitúa en una intersección peculiar. El incidente pone de manifiesto los riesgos persistentes en los elementos custodiados de las plataformas de pago cripto, incluso en las construidas sobre infraestructura descentralizada. Gnosis Pay es no custodiado por diseño, pero el Delay Module compartido introdujo un punto único de fallo que afectó a muchos usuarios simultáneamente. Esta es la brecha que la seguridad de las wallets MPC está diseñada para cubrir.

8. Wallets MPC: un modelo de seguridad más robusto para el gasto cripto

¿Qué es la computación multiparte (MPC) y por qué importa?

Una wallet MPC se basa en la Computación Multiparte (Multi-Party Computation), una rama de la criptografía. En lugar de almacenar una única clave privada, la wallet crea múltiples fragmentos de clave cifrados. Cada fragmento se almacena en ubicaciones diferentes. Cuando apruebas una transacción, estos fragmentos colaboran para firmarla, pero la clave completa nunca existe en un solo lugar. Este enfoque elimina el punto único de fallo inherente a las wallets tradicionales.

En términos prácticos: si un fragmento se ve comprometido, el atacante no puede firmar una transacción porque le faltan las otras piezas distribuidas.

Cómo las wallets basadas en MPC reducen el riesgo de exploit

MPC divide una clave privada en múltiples fragmentos independientes almacenados en distintos dispositivos o ubicaciones. En ningún momento la clave privada se reconstruye completamente. Esto elimina los puntos únicos de fallo y mejora significativamente la seguridad. A diferencia del enfoque del Delay Module, donde una única vulnerabilidad en un contrato inteligente podía desbloquear el acceso a muchas wallets, MPC requiere comprometer múltiples sistemas independientes de forma simultánea.

MPC opera off-chain: la firma es un cómputo criptográfico realizado entre los titulares de los fragmentos de clave antes de que nada se transmita. Es agnóstica a la cadena, ya que la misma implementación MPC protege wallets en cualquier blockchain que use ECDSA o EdDSA.

Bleap como alternativa más segura

Bleap aplica la tecnología MPC directamente al gasto cripto cotidiano. En lugar de depender de módulos de retardo on-chain o capas de permisos que pueden ser explotados, la Mastercard autocustodiada de Bleap usa firma asegurada con MPC para autorizar transacciones. Los fragmentos de clave se dividen entre múltiples partes, por lo que ningún componente comprometido de forma aislada puede vaciar tus fondos.

Esta es una arquitectura fundamentalmente diferente al enfoque del Delay Module que usaba Gnosis Pay. Con Bleap, obtienes una cuenta autocustodiada con control total de tus fondos, 0% de comisiones en divisas, hasta un 20% de cashback en gaming, streaming y gasto cotidiano, y trading de criptos sin comisiones, todo sin la superficie de riesgo de contratos inteligentes que hizo posible el hackeo de Gnosis Pay. No hay suscripción mensual.

9. Qué buscar en un producto de gasto cripto seguro

Antes de confiar tus fondos a una tarjeta de gasto cripto, comprueba estas características:

• Arquitectura MPC o de firma de umbral. Ninguna clave privada completa debería quedar expuesta en ningún momento.
• Auditorías de seguridad transparentes publicadas por empresas independientes. Si un proveedor no ha sido auditado, es una señal de alarma.
• Controles de gasto granulares y alertas de transacciones en tiempo real. Deberías saber en el momento en que se mueven tus fondos.
• Políticas claras de respuesta ante incidentes y compensación a usuarios. ¿Qué ocurre cuando algo sale mal?
• Cumplimiento normativo. Un producto de tarjeta que opera dentro de marcos regulados añade una capa adicional de responsabilidad.

Bleap cumple todos estos requisitos con autocustodia asegurada por MPC, una tarjeta de débito Mastercard que puedes usar en cualquier lugar donde se acepte Mastercard, y sin cargos ocultos. Es una tarjeta de débito que puedes usar en Steam, PlayStation o Xbox, con hasta un 20% de cashback.

Compra, mantén y gasta criptos con seguridad de nivel MPC, sin riesgo de delay module. Bleap ofrece trading de criptos sin comisiones, una Mastercard autocustodiada con 0% de comisiones en divisas y hasta un 20% de cashback. Sin suscripción mensual, sin superficie de exploit de contratos inteligentes. Abre una cuenta Bleap →

Preguntas frecuentes

¿Qué fue el exploit de Gnosis Pay y cómo vació los fondos?

El exploit se centró en un fallo de verificación de firmas dentro del Delay Module de GnosisPay. El atacante aprovechó la manera en que la función moduleTxSignedBy() del módulo analiza el calldata, usando contratos de ataque especialmente diseñados para suplantar a firmantes legítimos. Tras esperar el período de enfriamiento obligatorio, el atacante ejecutó las transacciones en cola, transfiriendo EURe y GNO desde los Safes de las víctimas a wallets controladas por el atacante. Las pérdidas totales se estimaron en aproximadamente 265.000 $.

¿Es seguro usar Gnosis Pay después del hackeo?

Gnosis Pay ha restaurado las operaciones normales de la tarjeta para más del 99% de los usuarios, reemplazando todas las cuentas Safe afectadas y vinculándolas a las tarjetas existentes de los usuarios. Gnosis se comprometió a reponer íntegramente las pérdidas a todos los usuarios afectados. Se espera un post-mortem detallado en las próximas semanas. Los usuarios deben estar atentos a los canales oficiales y evaluar si las medidas de seguridad actualizadas se ajustan a su tolerancia al riesgo.

¿Qué es un Delay Module en una wallet cripto y por qué es arriesgado?

El Zodiac Delay Module está diseñado para imponer un período de espera entre la aprobación y la ejecución de una transacción, dando tiempo para detectar y bloquear actividad no autorizada. El riesgo es que este único componente on-chain se convierte en una superficie de ataque compartida. Los Gnosis Safes se vieron comprometidos no mediante el robo directo de claves, sino a través de un sutil fallo en un mecanismo de retardo integrado. Si el módulo tiene un bug, todas las wallets que lo usen pueden verse afectadas simultáneamente.

¿En qué se diferencia una wallet MPC de una wallet no custodiada estándar?

Una wallet no custodiada estándar almacena 1 clave privada completa (o frase semilla) en un único dispositivo. Una wallet MPC divide tu clave privada en múltiples partes cifradas, siendo más segura que las wallets de clave única mientras te mantiene en control total. Si un hacker compromete 1 fragmento, seguirá siendo inútil sin los demás. Este es el modelo que Bleap usa para su Mastercard autocustodiada.

¿Cuál es la forma más segura de usar una tarjeta de débito cripto?

Mantén solo las cantidades de gasto cargadas en tu wallet vinculada a la tarjeta. Usa hardware wallets para el almacenamiento a largo plazo. Elige una tarjeta con seguridad MPC o de firma de umbral en lugar de control de acceso basado en módulos de contratos inteligentes. Activa las alertas en tiempo real y la 2FA. La Mastercard autocustodiada de Bleap aplica seguridad de wallet MPC con 0% de comisiones en divisas, trading de criptos sin comisiones y hasta un 20% de cashback, sin suscripción mensual.

¿Cuáles son los principales riesgos de las wallets vinculadas a tarjetas de débito?

Las wallets vinculadas a tarjetas de débito siempre están «en caliente», es decir, conectadas a internet y expuestas a riesgos continuos. Módulos como el Delay Module y el Roles Module mejoran la funcionalidad pero también introducen vectores de ataque adicionales. Los permisos de gasto delegados crean rutas de firma adicionales que los atacantes pueden tener como objetivo. El hackeo de Gnosis Pay demostró que incluso una función diseñada para la seguridad puede convertirse en una vulnerabilidad cuando hay un bug en un contrato inteligente.

Conclusión

El hackeo de Gnosis Pay de junio de 2026 expuso una debilidad crítica en las wallets de contratos inteligentes vinculadas a tarjetas de débito. El incidente sirve como un recordatorio claro de las complejidades que implica proteger sistemas de contratos inteligentes modulares. Una única vulnerabilidad en el Delay Module permitió a los atacantes vaciar fondos de docenas de wallets simultáneamente, a pesar del diseño no custodiado de la plataforma.

La lección central: la arquitectura importa. La seguridad de las wallets MPC elimina los puntos únicos de fallo que los exploits de delay module aprovechan, porque nunca existe una clave completa en un solo lugar y ningún módulo on-chain puede ser usado como arma contra todos los usuarios a la vez.

A la hora de elegir una tarjeta de gasto cripto, prioriza el modelo de seguridad por encima de todo lo demás. La Mastercard autocustodiada de Bleap usa firma asegurada por MPC, no cobra comisiones en divisas, ofrece hasta un 20% de cashback y no requiere suscripción mensual. Compra criptos sin comisiones de trading, gástalos en cualquier lugar donde se acepte Mastercard y mantén el control total de tus fondos en todo momento.

Abre una cuenta Bleap →