Gnosis Pay تكشف ثغرة أمنية في منطق التحقق من توقيعات ERC1271

ملخص سوق AI
تُفصّل مراجعة Gnosis Pay لما بعد الحادث خللاً في التحقق من صحة التوقيعات وفق ERC1271 في وحدة Zodiac، ما أتاح تفويضات مُزوّرة وعمليات سحب غير مُصرّح بها. وقد استخرج المهاجمون نحو 1.5 مليون دولار عبر 5,281 محفظة، بما في ذلك نحو 641 ألف دولار من GNO، مع بقاء نحو 300 ألف دولار أخرى عالقة في حسابات غير قابلة للوصول. ورغم أنه تم تصحيح الخلل وتبع ذلك إعادة بناء للإصدار v2 إلى جانب توسيع نطاق عمليات التدقيق، فقد يضغط هذا الإفصاح على الثقة على المدى القريب في أمن العقود الذكية المرتبطة بـ Gnosis.
مستوى التأثير
● متوسط
رؤية AIرؤية AI
▼ هابط
⚠️ الرؤى التي يُنشئها AI مبنية على محتوى الأخبار، وتُقدَّم لأغراض معلوماتية فقط. لا تُشكّل نصيحة استثمارية، ولا تعبّر عن آراء BingX. ينطوي الاستثمار على مخاطر. يُرجى التداول بمسؤولية.
أفادت ME News أنه في 3 يوليو (UTC+8) نشرت Gnosis Pay تقرير مراجعة ما بعد الحادث حول واقعة أمنية تعود إلى 1 يونيو. وأوضح التقرير أن سبب الثغرة يعود إلى خلل في منطق التحقق من التوقيع وفق معيار ERC1271 ضمن وحدة Zodiac، إذ كان النظام يكتفي بقراءة قيمة الإرجاع من العقد دون التأكد من نجاح تنفيذ الاستدعاء فعليًا. واستغل المهاجمون ذلك عبر نشر عقد مُصمم ليفشل في التنفيذ لكنه يعيد في الوقت نفسه مؤشرًا يُظهر أن التوقيع "صالح"، ما أتاح تزوير التفويض وسحب أموال من حسابات لا يملكونها. وذكر التقرير أن الثغرة أُدخلت مع إصدار كود Zodiac رقم 3.4.0 في أكتوبر 2023، وتم إصلاحها في 5 يونيو. وبحسب البيانات، سحب المهاجمون نحو 1.5 مليون دولار عبر 5,281 محفظة، منها قرابة 641 ألف دولار من GNO، و453 ألف دولار من EURe، و399 ألف دولار من USDC.e. كما لا يزال نحو 300 ألف دولار عالقًا في حسابات غير قابلة للوصول، ويبحث الفريق خيارات الاسترداد. وقالت Gnosis Pay إنها ستوسع فريق الأمن لديها، وتستعين بتدقيقات خارجية، وتوسّع نطاق تدقيق العقود الذكية. وأضافت أنها أنهت بالفعل إعادة بناء كاملة للمنتج (v2) لتعزيز قدرات الاستجابة الأمنية. (المصدر: Foresight News)