Le 1er juin 2026, Gnosis Pay a subi un exploit qui a vidé une partie des portefeuilles liés à sa carte de débit Visa auto-conservée. L’attaque n’a pas visé la carte ni les clés privées des utilisateurs, mais une brique logicielle précise : le module Zodiac Delay rattaché aux comptes intelligents Safe sur la Gnosis Chain. Selon l’analyse technique de la société de sécurité Verichains, le pillage a porté sur environ 265 000 dollars. D’autres estimations parlent de pertes plus élevées. En quelques heures, le cofondateur de Gnosis, Martin Köppelmann, a demandé aux porteurs de retirer leurs fonds et promis un remboursement intégral.
Cet incident, modeste par son montant face aux 285 millions de dollars volés à Drift Protocol deux mois plus tôt, touche un point sensible. Gnosis Pay incarne la promesse d’une finance décentralisée grand public en Europe : payer en euros numériques chez un commerçant, sans banque, depuis son propre portefeuille. Quand cette promesse échoue à cause d’un module mal vérifié, c’est tout le modèle de l’auto-conservation qui passe l’examen. Voici l’analyse complète : les faits, le mécanisme de la faille, la réaction de Gnosis, le contexte 2026 des piratages crypto et ce que cela change pour les utilisateurs européens.
Ce qui s’est passé le 1er juin 2026
L’exploit s’est déclenché le 1er juin 2026 (heure UTC) sur la Gnosis Chain. Un attaquant a réussi à insérer des transactions malveillantes dans les files d’attente de nombreux portefeuilles Safe rattachés à Gnosis Pay, puis à les exécuter. Le produit visé est une carte de débit Visa auto-conservée : l’utilisateur dépense des stablecoins directement depuis son propre portefeuille intelligent, sans passer par un compte d’échange custodial.
Les actifs concernés étaient l’EURe, le stablecoin libellé en euro utilisé dans l’écosystème Gnosis Pay, et le GNO, le jeton natif de la Gnosis Chain. Verichains, qui a publié une dissection du code le 8 juin, chiffre la perte à environ 265 000 dollars. La firme note un détail troublant : les développeurs avaient déjà repéré et corrigé ce bug des mois plus tôt dans un autre dépôt de code, sans que le correctif ne soit propagé à la version en production. La faille connue dormait donc dans le système au moment de l’attaque.
La chronologie publique tient en quelques heures. L’attaque commence, des observateurs de la chaîne repèrent des mouvements anormaux, l’équipe Gnosis confirme l’exploit actif, met en pause l’activité du pont (bridge) et demande aux validateurs de suspendre les transferts. Dans la foulée, Köppelmann lance l’alerte aux utilisateurs et annonce la prise en charge des pertes. La rapidité du confinement a limité l’ampleur du vol, mais elle a aussi forcé des milliers d’utilisateurs à déplacer leurs fonds en urgence.
Le module Zodiac Delay, point de défaillance technique
Pour comprendre l’attaque, il faut décomposer l’empilement technique. Les portefeuilles Gnosis Pay reposent sur Safe (anciennement Gnosis Safe), le standard de compte intelligent multisignature le plus utilisé de la finance décentralisée. Safe accepte des modules Zodiac, des composants additionnels qui étendent ses fonctions. Le module Delay sert de couche de sécurité : il impose un délai obligatoire entre la demande d’une transaction et son exécution, afin de laisser le temps de détecter et bloquer une opération frauduleuse.
L’ironie est cruelle : la brique censée protéger les fonds est devenue la porte d’entrée. D’après Verichains, la version Zodiac Delay v1.1.0 contenait un défaut dans sa logique de vérification de signature. La fonction interne _isValidContractSignature() validait un appel statique (static call) en se fiant uniquement aux octets renvoyés, sans contrôler le statut de réussite de l’appel. Concrètement, un appel qui échouait (revert) pouvait quand même être interprété comme une signature de contrat valide.
Cette absence de vérification du statut a permis à l’attaquant de contourner l’autorisation. Il pouvait faire passer une opération non signée pour une opération signée, mettre des retraits malveillants dans la file d’attente du module Delay, puis les exécuter une fois le délai écoulé. Le défaut n’est pas une fuite de clés ni un hameçonnage : c’est une faille de logique au niveau du contrat, le type de bug le plus difficile à repérer par les utilisateurs ordinaires, car il vit dans une couche d’infrastructure invisible.
« Gnosis couvrira toutes les pertes » : la réponse officielle
La gestion de crise de Gnosis a tranché avec l’opacité habituelle des projets piratés. Martin Köppelmann, cofondateur de Gnosis, a communiqué publiquement sur X dès le déclenchement de l’attaque. Son message aux utilisateurs ne laissait aucune ambiguïté.
« Si vous êtes un utilisateur de Gnosis Pay, malheureusement je dois vous le recommander : retirez tous vos fonds (EURe et GNO). »
Martin Köppelmann, cofondateur de Gnosis
Quelques heures plus tard, alors que l’ampleur des dégâts se précisait, il ajoutait l’engagement qui a dominé les titres de la presse spécialisée.
« Soyez rassurés, Gnosis couvrira toutes les pertes des utilisateurs. »
Martin Köppelmann, cofondateur de Gnosis
Au-delà des mots, l’équipe a pris trois mesures concrètes. Elle a mis en pause le pont qui relie la Gnosis Chain aux autres réseaux, demandé aux validateurs du pont de suspendre leur activité pour empêcher l’exfiltration des fonds volés vers d’autres chaînes, et lancé une procédure de remboursement intégral des victimes. Un porte-parole de Gnosis a confirmé le 2 juin que l’entreprise travaillait à contenir les dégâts. Cette combinaison rapidité plus garantie de remboursement a évité la panique totale, mais elle pose une question de fond : un projet de finance décentralisée qui rembourse de sa poche reste-t-il vraiment décentralisé ?
265 000 $ ou 1,2 million ? Le flou sur le montant volé
Le montant exact du vol reste contesté, ce qui est fréquent dans les premières heures d’un incident on-chain. Les estimations divergent selon les méthodes de comptage et les portefeuilles inclus dans le périmètre.
| Source | Montant estimé | Périmètre | Statut |
|---|---|---|---|
| Verichains (analyse technique, 8 juin) | ~265 000 $ | Fonds drainés via le module Delay | Chiffre le plus documenté |
| Federico Kunze (@fekunze, fil X) | ~1,2 million $ | Portefeuilles liés à la carte de débit | Estimation non confirmée |
| Crypto.news / The Defiant (1er juin) | Non chiffré à la publication | Pertes en cours d’évaluation | Reporting initial |
| CertiK (rapport, 10 juin) | Analyse du contrat, montant non isolé | Vulnérabilités du smart contract | Examen post-incident |
L’écart entre 265 000 et 1,2 million de dollars s’explique probablement par ce que chaque source compte : les fonds effectivement sortis des portefeuilles, contre l’ensemble des actifs exposés ou momentanément à risque. En appliquant le principe de prudence, le chiffre de Verichains, fondé sur une analyse du code et des transactions, reste le plus solide. Quoi qu’il en soit, l’incident se classe loin derrière les méga-vols de 2026. Sa portée tient à la nature du produit visé et à la faille structurelle qu’il révèle, pas au butin.
Gnosis Pay, EURe et Safe : que vise exactement l’attaque ?
Gnosis n’est pas un projet anonyme. Fondée par Martin Köppelmann et Stefan George, l’entreprise compte parmi les plus anciens noms de l’écosystème Ethereum. Elle a donné naissance à plusieurs infrastructures majeures, dont Safe, le portefeuille multisignature qui sécurise des dizaines de milliards de dollars d’actifs à travers la finance décentralisée.
Une carte Visa branchée sur un portefeuille intelligent
Gnosis Pay relie une carte de débit Visa classique à un portefeuille Safe détenu par l’utilisateur. Quand vous payez en boutique, la transaction puise dans vos stablecoins, principalement l’EURe, un stablecoin adossé à l’euro. Le modèle est dit auto-conservé : aucune entreprise ne détient vos fonds à votre place. C’est l’argument de vente central, et aussi le talon d’Achille révélé par l’attaque. L’auto-conservation reporte la sécurité sur le code des contrats, pas sur la garde d’un tiers.
Pourquoi l’angle européen compte
Gnosis Pay cible explicitement le marché européen. L’EURe permet de dépenser en euros numériques, ce qui évite le risque de change pour un utilisateur de la zone euro. Le produit s’inscrit dans la vague des néobanques crypto qui promettent de fusionner épargne on-chain et paiement quotidien. Un exploit qui force des milliers d’Européens à fuir leurs portefeuilles en urgence frappe donc une cible plus large que les seuls aficionados de la DeFi : il touche le pont entre crypto et vie courante. Pour les détenteurs de matériel de stockage à froid, l’épisode rappelle l’intérêt d’une séparation stricte entre fonds de dépense et épargne longue, un principe détaillé dans notre comparatif Ledger contre Trezor.
Les réactions des experts en sécurité
L’incident a mobilisé plusieurs cabinets reconnus de sécurité blockchain, qui ont rapidement publié alertes et analyses. La société d’audit PeckShield a relayé l’alerte aux utilisateurs dès le premier jour.
« Les utilisateurs sont fortement invités à retirer tous leurs fonds (EURe et GNO). »
PeckShield, alerte de sécurité
Verichains a fourni l’analyse technique la plus détaillée, identifiant le défaut de vérification de statut dans l’appel statique du module Delay et estimant la perte à environ 265 000 dollars. La firme a souligné le paradoxe d’un bug déjà corrigé ailleurs mais resté actif en production, un échec de gestion des correctifs plus que de découverte de vulnérabilité.
CertiK a publié le 10 juin un rapport étendu examinant les vulnérabilités du smart contract et la mécanique de l’exploit, confirmant que l’attaque visait la logique du module et non la carte. De son côté, le chercheur indépendant Federico Kunze a publié un fil détaillé sur X qualifiant l’événement de drainage d’environ 1,2 million de dollars affectant des milliers d’utilisateurs. Cette pluralité de voix, des auditeurs aux chercheurs indépendants, illustre la maturité croissante de l’écosystème de réponse aux incidents. Reste un constat partagé : la confiance accordée aux modules dans les architectures Safe constitue désormais une frontière de sécurité critique.
De Bybit à Gnosis Pay : les modules Safe en ligne de mire
L’exploit de Gnosis Pay n’est pas un cas isolé. Il s’inscrit dans une série d’attaques qui exploitent la couche modulaire des comptes Safe plutôt que les clés des utilisateurs. Le précédent le plus retentissant remonte à février 2025, avec le piratage de la plateforme Bybit.
| Incident | Date | Montant | Vecteur | Surface Safe |
|---|---|---|---|---|
| Bybit | Février 2025 | ~1,46 milliard $ | Manipulation du flux de signature multisig | Portefeuilles Safe |
| Portefeuilles Gnosis Safe (incident communautaire) | 2025 | +3 millions $ | Module communautaire compromis | Dizaines de Safe |
| Gnosis Pay | 1er juin 2026 | ~265 000 $ | Faille du module Zodiac Delay | Safe + module Delay |
Le vol de Bybit, chiffré à environ 1,46 milliard de dollars, représentait selon TRM Labs 51 % de la valeur totale dérobée en crypto en 2025. Il a impliqué des portefeuilles Safe via un chemin de module compromis. Bankless rappelait par ailleurs qu’une attaque antérieure avait vidé plus de 3 millions de dollars de dizaines de portefeuilles Gnosis Safe en passant par un module communautaire piégé. Le dénominateur commun saute aux yeux : ce ne sont pas les mots de passe ni les clés privées qui cèdent, mais la confiance accordée aux modules autorisés à agir sur un compte. Cette répétition fait des permissions de module l’un des angles morts majeurs de la sécurité on-chain en 2026.
Le contexte 2026 : 340 millions de dollars envolés via les ponts
L’année 2026 s’annonce de nouveau saignante pour la finance décentralisée. Selon les données de PeckShield, 14 exploits majeurs de ponts inter-chaînes avaient déjà causé 340,7 millions de dollars de pertes au 1er juin 2026. Les ponts, qui transfèrent des actifs entre blockchains, restent le maillon faible récurrent, en raison des failles de vérification des messages inter-chaînes et de la gestion humaine des clés.
| Incident | Montant | Type | Notes |
|---|---|---|---|
| Kelp DAO | ~293 millions $ | Exploit lié à un pont | Plus gros vol DeFi recensé de 2026 (PeckShield) |
| Drift Protocol | 285 millions $ | Ingénierie sociale | 1er avril 2026, attribué au groupe nord-coréen UNC4736 |
| TesseraDAO | ~2,5 millions $ | Mint-and-dump | Début juin 2026, BNB Chain, 99 M de jetons TSR, blanchiment via Tornado Cash |
| Gnosis Pay | ~265 000 $ | Faille de module | 1er juin 2026, Gnosis Chain, module Zodiac Delay |
Pour situer l’échelle, les pertes cumulées de la DeFi avaient déjà dépassé 750 millions de dollars à la mi-avril 2026, dont plus de 577 millions concentrés sur deux attaques seulement. En 2025, TRM Labs recensait 2,87 milliards de dollars dérobés sur près de 150 piratages, et les seules attaques d’infrastructure avaient coûté 2,2 milliards de dollars sur 45 incidents, soit une moyenne de 48,5 millions par attaque. Face à ces chiffres, les 265 000 dollars de Gnosis Pay paraissent dérisoires. Mais le vol de Drift, lui, illustre l’autre extrême : 285 millions de dollars partis en douze minutes, un cas que nous avons disséqué dans notre analyse du hack de Drift Protocol.
Impact pour les utilisateurs européens et le marché
L’impact direct du vol reste circonscrit grâce au remboursement promis. Le risque réel se situe ailleurs : dans la confiance. Gnosis Pay vendait la sécurité de l’auto-conservation comme un avantage face aux plateformes custodiales. L’épisode démontre que l’auto-conservation déplace le risque sans le supprimer : la garde passe d’une entreprise au code des contrats, et un seul module défaillant peut compromettre des milliers de portefeuilles simultanément.
Pour le marché, le signal est double. D’un côté, la prise en charge rapide des pertes par Gnosis renforce l’idée qu’un projet sérieux assume ses échecs, un standard que peu de protocoles piratés respectent. De l’autre, chaque incident sur un produit grand public alimente la défiance des régulateurs et des utilisateurs prudents. Les détenteurs européens d’EURe ont vécu en temps réel la fragilité d’un système où la seule défense consiste à fuir ses propres fonds avant l’attaquant. La leçon de fond rejoint celle des grandes fuites de données : la sécurité dépend de la couche la plus faible, comme le montre notre dossier sur les fuites de données.
Les comparaisons avec le secteur bancaire traditionnel sont inévitables. Quand le registre national des comptes bancaires français FICOBA a été compromis en début d’année, exposant 1,2 million de comptes, l’État a centralisé la réponse et la notification. Dans le monde DeFi, la réponse repose sur la bonne volonté d’une équipe et la vitesse de la communauté. Les deux modèles ont leurs failles, comme l’illustre notre analyse du piratage de FICOBA.
MiCA et les stablecoins euro : quel cadre réglementaire ?
L’incident survient alors que l’Europe applique pleinement son règlement MiCA (Markets in Crypto-Assets), le cadre le plus ambitieux au monde pour les actifs numériques. MiCA encadre notamment les jetons de monnaie électronique, catégorie dans laquelle s’inscrivent les stablecoins adossés à l’euro comme l’EURe ou l’EURC de Circle. L’objectif affiché : garantir des réserves, une transparence et une protection des consommateurs alignées sur les standards des services de paiement.
MiCA régule l’émetteur du stablecoin, mais pas directement la sécurité d’un module Zodiac ou d’un portefeuille Safe. L’EURe peut être parfaitement conforme tandis que l’infrastructure qui le déplace présente une faille critique. Cette zone grise, entre conformité de l’actif et sécurité de l’application, est exactement celle qu’exploite l’attaque de Gnosis Pay. Les régulateurs européens, qui scrutent déjà l’essor des cartes crypto, trouveront dans cet épisode un argument pour étendre leurs exigences aux couches techniques, et non plus seulement aux émetteurs. L’enjeu rejoint celui des directives de cybersécurité comme NIS2, dont nous suivons le déploiement en France dans notre dossier NIS2 en France.
Cinq prédictions pour la sécurité de la DeFi en 2026
À partir des tendances observées sur le premier semestre, voici cinq projections pour la suite de l’année.
- Les modules deviendront la cible privilégiée. Après Bybit et Gnosis Pay, les attaquants concentreront leurs efforts sur les extensions des comptes Safe, plus rentables qu’un hameçonnage individuel.
- La gestion des correctifs sera scrutée. Le cas Verichains, un bug corrigé ailleurs mais actif en production, poussera les audits à exiger une traçabilité complète des versions déployées.
- Les remboursements volontaires se généraliseront. L’engagement de Gnosis crée un précédent réputationnel : les projets capables de couvrir les pertes gagneront un avantage concurrentiel décisif.
- MiCA s’étendra vers la sécurité applicative. Les régulateurs européens chercheront à combler la zone grise entre conformité de l’émetteur et sécurité de l’infrastructure.
- Les pertes annuelles 2026 dépasseront celles de 2025. Avec plus de 750 millions de dollars dès la mi-avril, le rythme dépasse celui qui avait mené à 2,87 milliards en 2025.
Comment protéger ses fonds en auto-conservation
L’épisode Gnosis Pay offre des leçons pratiques pour quiconque utilise un portefeuille intelligent. La défense ne repose pas sur un seul geste, mais sur une hygiène d’usage.
- Séparez les usages. Gardez sur la carte de dépense uniquement le montant nécessaire aux paiements courants, et placez l’épargne sur un portefeuille distinct, idéalement en stockage à froid.
- Suivez les alertes en temps réel. Les comptes des cabinets de sécurité comme PeckShield et les canaux officiels du projet diffusent les alertes avant la presse. Quelques minutes peuvent suffire à sauver des fonds.
- Comprenez vos modules. Vérifiez quels modules sont autorisés sur votre Safe et révoquez ceux dont vous n’avez pas l’usage. Chaque module ajoute une surface d’attaque.
- Préparez un plan de fuite. Sachez à l’avance vers quelle adresse retirer en urgence, pour ne pas improviser en pleine crise.
- Privilégiez les protocoles audités. Un audit récent et public ne garantit rien, mais son absence est un signal d’alarme.
Related Coverage
- Hack Drift Protocol : 285 M$ volés en 12 minutes [2026]
- Ledger vs Trezor : 79 € vs 59 €, le verdict [2026]
- FICOBA piraté : 1,2 million de comptes exposés [2026]
- Fuites de données : comment elles surviennent et s’en protéger
- NIS2 France : 15 000 entités, la CJUE saisie [2026]
- Cryptographie et fonctions de hachage : le socle de la confiance numérique
Foire aux questions
Qu’est-ce que l’exploit de Gnosis Pay du 1er juin 2026 ?
C’est une attaque qui a exploité une faille du module Zodiac Delay rattaché aux portefeuilles Safe de Gnosis Pay sur la Gnosis Chain. L’attaquant a pu insérer et exécuter des retraits malveillants. Verichains estime la perte à environ 265 000 dollars, d’autres sources avancent jusqu’à 1,2 million.
Les utilisateurs de Gnosis Pay ont-ils perdu leur argent ?
Le cofondateur Martin Köppelmann a promis publiquement que « Gnosis couvrira toutes les pertes des utilisateurs ». Un processus de remboursement intégral a été lancé. Les utilisateurs ont toutefois été invités à retirer en urgence leurs EURe et GNO pendant l’incident.
La carte de débit Visa a-t-elle été piratée ?
Non. L’attaque a visé la couche logicielle, le module Zodiac Delay associé aux comptes Safe, et non l’infrastructure de la carte ni les identifiants bancaires. Aucun vol de données de carte n’a été rapporté.
Qu’est-ce que le module Zodiac Delay ?
C’est un composant de sécurité ajouté à un portefeuille Safe qui impose un délai entre la demande d’une transaction et son exécution, afin de détecter les opérations frauduleuses. La version v1.1.0 contenait un défaut de vérification de signature exploité lors de l’attaque.
Quel rapport avec le piratage de Bybit en 2025 ?
Les deux attaques partagent la même surface : l’abus d’une couche de contrôle liée aux portefeuilles Safe, et non le vol de clés privées. Bybit a perdu environ 1,46 milliard de dollars en février 2025, soit 51 % de la valeur dérobée en crypto cette année-là selon TRM Labs.
Le règlement MiCA protège-t-il contre ce type d’attaque ?
Pas directement. MiCA encadre les émetteurs de stablecoins comme l’EURe, en imposant réserves et transparence, mais ne régule pas la sécurité des modules ou des portefeuilles intelligents qui déplacent ces actifs. Cette zone grise entre conformité et sécurité applicative est précisément celle qu’a exploitée l’attaque.
Combien la crypto a-t-elle perdu en piratages en 2026 ?
Au 1er juin 2026, PeckShield recensait 340,7 millions de dollars dérobés via 14 exploits majeurs de ponts inter-chaînes. Les pertes globales de la DeFi avaient dépassé 750 millions dès la mi-avril, contre 2,87 milliards sur l’ensemble de 2025 selon TRM Labs.
Sources et lectures complémentaires : analyse technique Verichains, Crypto.news, documentation Safe sur les modules, Gnosis Pay, PeckShield et le règlement MiCA de l’ESMA.
