Az ember abban bízik, hogy a nyár indulásával egy unalmas és nyugodt évszak jön jön, aztán azonnal kapunk az arcunkba két-három hackertámadást.
A Gnosis Pay és a TesseraDAO most nem a nyári szabadságolásokat tervezi, hanem vélhetően azon gondolkodik, hogy hogyan tovább.
A támadások most sem az alaprendszerek összeomlásából jöttek, a hackerek sokkal okosabbak lettek ennél, és rájöttek, hogy nem a világ legjobban védett bankrablását kell végrehajtaniuk, elég csak megkeresni azokat az elfelejtett kiskapukat, amelyeket a gyanútlan felhasználók még hónapokkal ezelőtt engedélyeztek.
A Gnosis Paynél nem a fő rendszer volt a gond
A Gnosis Pay pont arról volt híres, hogy egy biztonságos, saját letétkezelésű Visa kártyát kínál, ami közvetlenül a Safe walletedből költi a stablecoint.
A biztonság illúziója viszont szertefoszlott, miután június 1-jén a cég alapítója, Martin Köppelmann, a PeckShield biztonsági cég bejelentésével párhuzamosan vészjelzést adott ki.
Először arra kérte a felhasználókat, hogy azonnal vonják ki az EURe és a GNO tokenjeiket, majd ezt gyorsan visszavonta, mivel egy folyamatban lévő hack alatt ez nem volt biztonságos, és inkább leállíttatta a teljes bridge validátori hálózatot.
A bug related to the @gnosispay delay module has been discovered. We are investigating & will share updates as soon as possible.
If you are able to withdraw funds from the Gnosis Pay card to your wallet, we strongly recommend that you do that.
Affected users will be reimbursed.
— Gnosis Pay 🦉💳 (@gnosispay) June 1, 2026
Mi történt valójában? A támadás nem a Safe wallet alaprendszerét vette célba, ehelyett a hackerek találtak egy hibát az úgynevezett Zodiac delay module-ban, amelynek az lett volna a feladata, mint egy biztonsági kapunak, hogy időkésleltetést rakjon a tranzakciók közé.
De volt benne egy hiba, így a hacker képes volt kikerülni ezt az ellenőrzést, és saját tranzakciókat indítani az ezt használó Safe-ekből.
Ez a klasszikus kriptós rémálom. Te meg vagy győződve róla, hogy a pénzed biztonságban van, de a köré épített egyik bővítmény közben meg ellopja. A Gnosis az eset után jelezte, hogy minden érintett felhasználót kártalanít.
TesseraDAO-nál a jogosultság lett a fegyver
Eközben a BNB Chainen a TesseraDAO is kapott egy csúnya gyomrost. Technikai értelemben máshogy indult, de a végeredmény nagyon hasonló.
A PeckShield és a Spreek jelentése szerint egy hacker valahogy hozzájutott a tokenkibocsátási jogokhoz, és egyszerűen legyártott magának a semmiből 99 millió TSR tokent.
Ahogy az ilyenkor lenni szokott, azonnal ráöntötte az egészet a piacra, amitől a token árfolyama nagyjából 99 százalékot szakadt, a padlóig.
Az ingyen tokenekből befolyt zsákmányt a hacker körülbelül 2,5 millió USDT formájában gyorsan átvitte az Ethereum hálózatára, ott pedig jött a klasszikus pénzmosoda, és 1285 ETH-t azonnal beküldtek a Tornado Cash-be, hogy lenyomozhatatlanná tegyék.
Itt sem egy meghackelt okosszerződés volt a gond, hanem egy rosszul kezelt (vagy esetleg ellopott, ezt még nem lehet tudni) jogosultság.
Ugyanaz a minta tér vissza
A két eset tökéletesen megmutatja, hogy a biztonságérzet sokszor túlságosan is az okosszerződésekre fókuszál. Pont ez történt május végén a DxSale platformmal is.
A DxSale-ről sokan azt hitték, egy megbízható szolgáltatás, aztán valaki, egy 269 nappal ezelőtti csendes tulajdonosváltásnak és egy manipulált, hátsó kapus „setFee” funkciónak köszönhetően visszadátumozta az órákat 1970-re, és egyszerűen kiürített több, mint 1400 régi liquidity poolt, lenyúlva 7,3 millió dollárt.
Hogyan volt ez lehetséges? Az emberek ott is évekkel ezelőtt rányomtak az engedélyezésre, aztán elfelejtették az egészet.
A kellemetlen igazság tehát az, hogy a DeFi-ben nem dőlhetsz hátra csak azért, mert egy auditált rendszert használsz.
A pénzed általában azon a kiskapun fog távozni, egy külső modulon, egy régi engedélyen, vagy egy ellopott jogosultságon keresztül, amiről már te is rég elfelejtetted, hogy egyáltalán nyitva hagytad.
Olvastad már? Jön a MiCA határideje, problémás lesz a kriptós cégek nyara?
Kriptopiaci kutató, a Kriptoworld.hu külsős szerzője
Tűz. Kerék. Gőzgép. Bitcoin.
📅 Megjelenés: 2026. június 5. • 🕓 Utolsó frissítés: 2026. június 5.
✉️ Kapcsolat: [email protected]
Tájékoztatás: A kriptoworld.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg a 2007. évi CXXXVIII. törvény (Bszt.) 4. § (2). bek 8. pontja szerinti befektetési elemzést és a 9. pont szerinti befektetési tanácsadást.
Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!
A cikkekben megjelenő esetleges hibákért téves információkból eredendő anyagi károkért a kriptoworld.hu felelősséget nem vállal.