Hack di Gnosis Pay: Cosa è Successo e Come Proteggere le Tue Criptovalute nel 2026

Gnosis Pay Hack: Cosa è Successo, Come Ha Funzionato e Come Proteggere le Tue Crypto

Se usi una carta di debito crypto, l'hack di Gnosis Pay del giugno 2026 è qualcosa che dovresti conoscere. Intorno al 1° giugno 2026, Gnosis Pay ha rilevato un exploit attivo che prendeva di mira il Delay Module, un componente smart contract progettato per proteggere i fondi degli utenti. L'attacco ha prosciugato i fondi di decine di Safe, con perdite totali stimate intorno ai 265.000 dollari in EURe e GNO. La fiducia degli utenti ne ha risentito, e l'incidente ha messo in luce i rischi di sicurezza unici che derivano dal collegare una carta di debito a un wallet on-chain.

Questo articolo analizza la meccanica dell'exploit di Gnosis Pay, la vulnerabilità del Delay Module al centro dell'attacco, la risposta di Gnosis e le best practice per la sicurezza del wallet crypto che dovresti adottare. Vedremo anche come la sicurezza dei wallet MPC — l'architettura usata da Bleap per la sua Mastercard self-custodial — elimini esattamente il tipo di single point of failure sfruttato da questo hack.

La tua carta di spesa crypto dovrebbe proteggere i tuoi fondi, non metterli a rischio. La Mastercard self-custodial di Bleap usa la sicurezza dei wallet MPC, non i delay module degli smart contract, per tenerti in controllo. 0% di commissioni FX, fino al 20% di cashback, nessun abbonamento mensile. Scopri come funziona Bleap →

1. L'Hack di Gnosis Pay del Giugno 2026: Cosa è Successo?

Il co-fondatore e CEO di Gnosis, Martin Koppelmann, ha confermato l'exploit attivo su X il 1° giugno 2026. L'exploit è nato da una vulnerabilità nel Delay Module, che ha permesso agli attaccanti di avviare transazioni non autorizzate. Il 29 maggio, l'attaccante aveva già distribuito 41 contratti d'attacco specializzati, e lo sfruttamento vero e proprio è avvenuto il 1° giugno intorno alle 5:26 del mattino.

Come misura di contenimento, Gnosis ha chiesto ai validatori del bridge di mettere in pausa le operazioni mentre investigatori e team forensi coordinavano la risposta. Koppelmann aveva inizialmente invitato gli utenti a ritirare i fondi in EURe e GNO, ma ha poi ritrattato il consiglio, riconoscendo che la maggior parte degli utenti non sarebbe riuscita a recuperare i fondi a causa della natura dell'exploit. Ha però assicurato che Gnosis avrebbe coperto integralmente tutte le perdite finanziarie subite.

Chi è Stato Colpito?

Gnosis Pay offre una carta di debito Visa collegata direttamente ai wallet smart contract Gnosis Safe degli utenti, permettendo di spendere stablecoin come EURe senza cedere la custodia. L'exploit ha colpito i conti Safe collegati alle carte, ma non ha avuto impatti sulla più ampia infrastruttura di Gnosis Safe o sulla Gnosis Chain stessa. I titolari di carte attive con saldi in EURe e GNO nei loro Safe collegati erano a rischio. A livello complessivo, Gnosis Pay aveva elaborato oltre 100 milioni di dollari in volume totale, più di 1,6 milioni di transazioni e oltre 50.000 account distribuiti.

2. Come Ha Funzionato l'Exploit del Delay Module

Analisi Tecnica della Vulnerabilità del Delay Module

Lo Zodiac Delay Module è progettato per imporre un periodo di attesa tra l'approvazione e l'esecuzione di una transazione, dando tempo di rilevare e bloccare attività non autorizzate. In condizioni normali, il delay module mette in coda le transazioni in uscita per 3 minuti, per garantire la precisione del settlement e prevenire prelievi non autorizzati immediati.

Gli attaccanti hanno trovato un modo per aggirare questa protezione. Secondo il report di CertiK, l'exploit si basava su un difetto nella verifica delle firme all'interno del Delay Module di GnosisPay. L'attaccante ha sfruttato il modo in cui la funzione moduleTxSignedBy() del modulo analizza i valori r, s e v dal calldata msg.data. I contratti d'attacco erano progettati per restituire sempre il valore magico EIP-1271 quando chiamati tramite isValidSignature(), impersonando di fatto firmatari legittimi senza fornire alcuna prova crittografica valida.

Manipolando il valore r, il sistema è stato ingannato ad accettare la transazione malevola. Dopo il periodo di cooldown obbligatorio imposto dal Delay Module, l'attaccante ha eseguito le transazioni in coda intorno alle 5:57, trasferendo EURe e GNO dai Gnosis Safe delle vittime direttamente ai wallet controllati dall'attaccante.

Il punto fondamentale: i Gnosis Safe sono stati compromessi non tramite un furto diretto delle chiavi, ma attraverso un difetto sottile in un meccanismo di ritardo integrato. Questo attacco dimostra come anche protocolli consolidati possano cadere vittima di manipolazioni avanzate del calldata e bypass della validazione delle firme EIP-1271.

3. Perché i Wallet Crypto Collegati a Carte di Debito Hanno Rischi di Sicurezza Unici

L'incidente di Gnosis Pay illustra una categoria specifica di rischio. La situazione è delicata perché Gnosis Pay collega conti Safe self-custody alla spesa con carta. Quando un wallet è sempre connesso a una carta di pagamento, crea una superficie d'attacco persistente che i classici setup di cold storage semplicemente non hanno.

I conti Gnosis Pay si basano su 2 moduli principali: il Delay Module e il Roles Module. Sebbene queste funzionalità migliorino l'esperienza d'uso, introducono anche vettori d'attacco aggiuntivi. I permessi di spesa, l'autorità di firma delegata e le transazioni frequenti di piccolo importo possono mascherare attività malevole. Lo Zodiac Delay Module è stato compromesso in un modo che ha permesso all'attaccante di inserire transazioni nelle code di molti wallet contemporaneamente.

Ecco perché l'architettura di sicurezza dietro la tua carta di spesa crypto conta più delle funzionalità comode. Una carta che si basa su moduli smart contract per il controllo degli accessi porta con sé rischi fondamentalmente diversi rispetto a una che usa la firma crittografica off-chain, come l'MPC.

4. La Risposta di Gnosis e i Precedenti Incidenti di Sicurezza

Impegno a Coprire le Perdite degli Utenti

Koppelmann ha confermato l'exploit attivo il 1° giugno, dichiarando: "Purtroppo c'è un hack legato a Gnosis Pay e al 'delay module'. Vi chiediamo pazienza mentre cerchiamo di contenere i danni. State tranquilli: Gnosis coprirà tutte le perdite degli utenti."

Il 2 giugno, Gnosis Pay ha comunicato che l'incidente era stato completamente contenuto e che le operazioni avrebbero ripreso in modo graduale. Ogni utente avrebbe ricevuto un nuovo Safe collegato alla carta, connesso al suo profilo di carta e identità esistente, e i nuovi Safe degli utenti colpiti sarebbero stati finanziati con il saldo originale. Entro il 7 giugno, Gnosis Pay aveva ripristinato le normali operazioni con carta per oltre il 99% degli utenti.

Storico delle Vulnerabilità

Non si è trattato di un evento isolato. Meno di una settimana prima, il 25 maggio 2026, un exploit separato aveva prosciugato 3,2 milioni di dollari da 86 Safe wallet tramite un modulo di terze parti chiamato SquidRouterModule. La causa principale era legata a difetti nei moduli Roles Modifier e Delay Modifier di Zodiac. Questi incidenti dimostrano come anche i moduli progettati per migliorare la sicurezza possano diventare vulnerabilità se sfruttati.

La trasparenza conta. Gli utenti di qualsiasi carta di spesa crypto dovrebbero esigere audit di sicurezza pubblicati, protocolli di risposta agli incidenti chiari e comunicazioni oneste quando le cose vanno storte.

5. Passi Immediati per gli Utenti Colpiti

Questo non è un consiglio finanziario. Se sei stato colpito, considera questi passaggi pratici:

• Revoca i permessi di spesa e disconnetti immediatamente tutte le dApp collegate al tuo vecchio Gnosis Pay Safe.
• Sposta i fondi rimanenti in un wallet separato e non compromesso. I depositi agli indirizzi del vecchio Gnosis Pay Safe, sia on-chain che tramite IBAN, andranno persi definitivamente.
• Attiva tutti gli alert disponibili e la 2FA su ogni account associato.
• Monitora i canali ufficiali di Gnosis Pay per aggiornamenti sui rimborsi e istruzioni per la migrazione. Le istruzioni chiare sono fornite direttamente nell'app web di Gnosis Pay o nel wallet usato per accedere alla carta.
• Documenta le perdite con timestamp e hash delle transazioni per qualsiasi processo di rimborso.

Stai cercando una carta di spesa crypto con un modello di sicurezza diverso? La Mastercard self-custodial di Bleap divide la tua chiave privata tra più parti usando l'MPC. Nessun modulo smart contract da sfruttare, nessun rischio da delay module. 0% di commissioni FX e fino al 20% di cashback. Ottieni la carta Bleap →

6. Best Practice Generali per la Sicurezza degli Asset Crypto

Indipendentemente dalla carta di spesa crypto o dal wallet che usi, questi principi fondamentali si applicano sempre:

• Usa hardware wallet per i risparmi a lungo termine. Gli hardware wallet rimangono l'opzione più sicura per i singoli holder crypto nel 2026. Tieni negli hot wallet solo le somme destinate alla spesa.
• Verifica regolarmente le app connesse e revoca i permessi inutilizzati. Il phishing rimane il vettore d'attacco numero 1 nel crypto, con tattiche sempre più sofisticate nel 2026.
• Evita di riutilizzare seed phrase o chiavi private su più piattaforme.
• Mantieni aggiornati i software wallet e il firmware. Le patch di sicurezza risolvono le vulnerabilità note.
• Proteggi i tuoi asset crypto con l'autenticazione a più fattori ovunque sia disponibile. Moltiplica i livelli di difesa.

Quando la tua carta di spesa è parte del quadro, abbina queste abitudini a una carta che usa un modello di sicurezza solido. Bleap, ad esempio, offre trading crypto senza commissioni e una Mastercard self-custodial con 0% di commissioni FX, ma il vero elemento differenziante è l'architettura MPC alla base.

7. Wallet Custodial vs. Non-Custodial: Capire la Differenza di Rischio

I wallet custodial delegano la gestione delle chiavi a terze parti. Comodi, certo, ma questo introduce un rischio di controparte: stai affidando la tua fiducia alle pratiche di sicurezza e alla solvibilità del custode. Se il custode viene hackerato o diventa insolvente, i tuoi fondi sono a rischio.

I wallet non-custodial ti danno il controllo completo sulle chiavi private. Tuttavia, questo ti pone tutta la responsabilità della sicurezza sulle spalle. Sei proprietario delle tue chiavi, ma anche del rischio derivante da bug degli smart contract, phishing o scarsa sicurezza operativa.

L'exploit di Gnosis Pay si trova a un incrocio particolare. L'incidente mette in evidenza i rischi persistenti negli elementi custodial delle piattaforme di pagamento crypto, anche quelle costruite su infrastruttura decentralizzata. Gnosis Pay è non-custodial per design, ma il Delay Module condiviso ha introdotto un single point of failure che ha colpito molti utenti simultaneamente. Questo è il gap che la sicurezza dei wallet MPC è progettata a colmare.

8. Wallet MPC: Un Modello di Sicurezza più Solido per la Spesa Crypto

Cos'è il Multi-Party Computation (MPC) e Perché è Importante?

Un wallet MPC è costruito sul Multi-Party Computation, una branca della crittografia. Invece di memorizzare un'unica chiave privata, il wallet crea più share di chiave cifrate. Ogni share è conservata in posizioni diverse. Quando approvi una transazione, questi share collaborano per firmarla, ma la chiave completa non esiste mai in un unico posto. Questo approccio elimina il single point of failure insito nei wallet tradizionali.

In termini pratici: se uno shard viene compromesso, l'attaccante non può firmare una transazione perché gli mancano gli altri pezzi distribuiti.

Come i Wallet Basati su MPC Riducono il Rischio di Exploit

L'MPC divide una chiave privata in più share indipendenti conservate su dispositivi o in posizioni diverse. La chiave privata non viene mai ricostruita completamente. Questo elimina i single point of failure e migliora significativamente la sicurezza. A differenza dell'approccio del Delay Module, dove una singola vulnerabilità smart contract poteva sbloccare l'accesso a molti wallet, l'MPC richiede di compromettere più sistemi indipendenti simultaneamente.

L'MPC opera off-chain: la firma è un calcolo crittografico eseguito tra i detentori degli share di chiave prima che qualsiasi cosa venga trasmessa. È chain agnostic, poiché la stessa implementazione MPC protegge i wallet su ogni blockchain che usa ECDSA o EdDSA.

Bleap come Alternativa più Sicura

Bleap applica la tecnologia MPC direttamente alla spesa crypto quotidiana. Invece di affidarsi a delay module on-chain o livelli di permesso che possono essere sfruttati, la Mastercard self-custodial di Bleap usa la firma protetta da MPC per autorizzare le transazioni. Gli share di chiave sono divisi tra più parti, quindi nessun singolo componente compromesso può prosciugare i tuoi fondi.

Questa è un'architettura fondamentalmente diversa dall'approccio del Delay Module usato da Gnosis Pay. Con Bleap ottieni un conto self-custodial con pieno controllo dei tuoi fondi, 0% di commissioni FX, fino al 20% di cashback su gaming, streaming e spesa quotidiana, e trading crypto senza commissioni — tutto senza la superficie di rischio smart contract che ha reso possibile l'hack di Gnosis Pay. Nessun abbonamento mensile.

9. Cosa Cercare in un Prodotto di Spesa Crypto Sicuro

Prima di affidare i tuoi soldi a una carta di spesa crypto, verifica queste caratteristiche:

• Architettura MPC o threshold-signature. Nessuna chiave privata singola dovrebbe mai essere esposta in nessun momento.
• Audit di sicurezza trasparenti pubblicati da società terze. Se un provider non è stato sottoposto ad audit, è un segnale d'allarme.
• Controlli granulari della spesa e alert sulle transazioni in tempo reale. Dovresti sapere nel momento in cui qualsiasi fondo si muove.
• Politiche chiare di risposta agli incidenti e di compensazione degli utenti. Cosa succede quando qualcosa va storto?
• Conformità normativa. Un prodotto di carta che opera all'interno di framework regolamentati aggiunge un ulteriore livello di accountability.

Bleap soddisfa questi requisiti con self-custody protetta da MPC, una carta di debito Mastercard utilizzabile ovunque sia accettata Mastercard e nessun costo nascosto. È una carta di debito che puoi usare su Steam, PlayStation o Xbox, con fino al 20% di cashback.

Compra, detieni e spendi crypto con sicurezza di livello MPC, non con il rischio dei delay module. Bleap offre trading crypto senza commissioni, una Mastercard self-custodial con 0% di commissioni FX e fino al 20% di cashback. Nessun abbonamento mensile, nessuna superficie di exploit smart contract. Apri un conto Bleap →

Domande Frequenti

Cos'era l'exploit di Gnosis Pay e come ha prosciugato i fondi?

L'exploit si basava su un difetto nella verifica delle firme all'interno del Delay Module di GnosisPay. L'attaccante ha sfruttato il modo in cui la funzione moduleTxSignedBy() del modulo analizza il calldata, usando contratti d'attacco appositamente costruiti per impersonare firmatari legittimi. Dopo aver aspettato il periodo di cooldown obbligatorio, l'attaccante ha eseguito le transazioni in coda, trasferendo EURe e GNO dai Safe delle vittime ai wallet controllati dall'attaccante. Le perdite totali sono stimate intorno ai 265.000 dollari.

Gnosis Pay è sicuro da usare dopo l'hack?

Gnosis Pay ha ripristinato le normali operazioni con carta per oltre il 99% degli utenti, sostituendo tutti i conti Safe colpiti e collegandoli alle carte esistenti degli utenti. Gnosis si è impegnata a risarcire integralmente tutti gli utenti colpiti, coprendo le perdite per intero. Un post-mortem dettagliato è atteso nelle prossime settimane. Gli utenti dovrebbero monitorare i canali ufficiali e valutare se le misure di sicurezza aggiornate siano in linea con la loro propensione al rischio.

Cos'è un Delay Module in un wallet crypto e perché è rischioso?

Lo Zodiac Delay Module è progettato per imporre un periodo di attesa tra l'approvazione e l'esecuzione di una transazione, dando tempo di rilevare e bloccare attività non autorizzate. Il rischio è che questo singolo componente on-chain diventi una superficie d'attacco condivisa. I Gnosis Safe sono stati compromessi non tramite furto diretto delle chiavi, ma attraverso un difetto sottile in un meccanismo di ritardo integrato. Se il modulo ha un bug, ogni wallet che lo usa può essere colpito simultaneamente.

In cosa si differenzia un wallet MPC da un wallet non-custodial standard?

Un wallet non-custodial standard memorizza 1 chiave privata completa (o seed phrase) su un singolo dispositivo. Un wallet MPC divide la tua chiave privata in più parti cifrate, rendendolo più sicuro dei wallet a chiave singola pur mantenendoti in pieno controllo. Se un hacker compromettesse 1 share, sarebbe comunque inutile senza gli altri. Questo è il modello che Bleap usa per la sua Mastercard self-custodial.

Qual è il modo più sicuro per usare una carta di debito crypto?

Tieni sulla tua carta collegata al wallet solo le somme destinate alla spesa. Usa hardware wallet per la conservazione a lungo termine. Scegli una carta con sicurezza MPC o threshold-signature piuttosto che con controllo degli accessi basato su moduli smart contract. Attiva alert in tempo reale e la 2FA. La Mastercard self-custodial di Bleap applica la sicurezza dei wallet MPC con 0% di commissioni FX, trading crypto senza commissioni e fino al 20% di cashback, senza abbonamento mensile.

Quali sono i principali rischi dei wallet collegati a carte di debito?

I wallet collegati a carte di debito sono sempre "hot", ovvero connessi a internet ed esposti a rischi continui. Moduli come il Delay Module e il Roles Module migliorano la funzionalità ma introducono anche vettori d'attacco aggiuntivi. I permessi di spesa delegati creano percorsi di firma extra che gli attaccanti possono prendere di mira. L'hack di Gnosis Pay ha dimostrato che anche una funzionalità progettata per la sicurezza può diventare una vulnerabilità quando è presente un bug in uno smart contract.

Conclusione

L'hack di Gnosis Pay del giugno 2026 ha esposto una debolezza critica nei wallet smart contract collegati a carte di debito. L'incidente è un promemoria chiaro delle complessità legate alla protezione di sistemi modulari di smart contract. Una singola vulnerabilità del Delay Module ha permesso agli attaccanti di prosciugare fondi da decine di wallet contemporaneamente, nonostante il design non-custodial della piattaforma.

La lezione principale: l'architettura conta. La sicurezza dei wallet MPC elimina i single point of failure che gli exploit del delay module prendono di mira, perché nessuna chiave completa esiste mai in un unico posto e nessun singolo modulo on-chain può essere usato come arma contro tutti gli utenti allo stesso tempo.

Quando scegli una carta di spesa crypto, dai la priorità al modello di sicurezza su tutto il resto. La Mastercard self-custodial di Bleap usa la firma protetta da MPC, non applica commissioni FX, offre fino al 20% di cashback e non richiede alcun abbonamento mensile. Compra crypto senza commissioni di trading, spendila ovunque sia accettata Mastercard e mantieni il pieno controllo dei tuoi fondi in ogni momento.

Apri un conto Bleap →