Gnosis Pay detecta una vulnerabilidad de seguridad en la validación de firmas ERC1271
Resumen del mercado generado por IA
La revisi""n posterior al incidente de Gnosis Pay detalla un fallo de validaci""n de firmas ERC1271 en el m""dulo Zodiac que permiti"" autorizaciones falsificadas y retiradas no autorizadas. Los atacantes extrajeron aproximadamente 1,5 millones de d""lares en 5.281 monederos, incluidos ~641.000 d""lares en GNO, con otros ~300.000 d""lares atrapados en cuentas inaccesibles. Aunque se aplic"" un parche y a continuaci""n se llev"" a cabo una reconstrucci""n v2 m""s auditor""as ampliadas, la divulgaci""n podr""2"a lastrar la confianza a corto plazo en la seguridad de los contratos inteligentes vinculados a Gnosis.
Nivel de impacto
● Media
Ideas de IAIdeas de IA
▼ Bajista
⚠️ Las ideas generadas por IA se basan en contenido de noticias y se proporcionan solo con fines informativos. No constituyen asesoramiento de inversión ni representan los puntos de vista de BingX. Invertir implica riesgos. Opera de forma responsable.
Según ME News, el 3 de julio (UTC+8) Gnosis Pay publicó un informe "post-incident review" sobre el incidente de seguridad del 1 de junio. La compañía detalló que el origen del problema fue un fallo en la lógica de verificación de firmas ERC1271 del módulo Zodiac: el sistema se limitaba a leer el valor devuelto por el contrato sin comprobar si la llamada se había ejecutado correctamente.
Los atacantes aprovecharon esta condición desplegando un contrato diseñado para fallar, pero que aun así devolvía un indicador de "válido". Con ello pudieron falsificar autorizaciones y retirar fondos de cuentas que no les pertenecían.
La vulnerabilidad se introdujo con la versión 3.4.0 del código de Zodiac en octubre de 2023 y se corrigió el 5 de junio. El informe estima que los atacantes sustrajeron alrededor de 1,5 millones de dólares a través de 5.281 monederos, incluidos aproximadamente 641.000 dólares en GNO, 453.000 dólares en EURe y 399.000 dólares en USDC.e. Otros 300.000 dólares permanecen bloqueados en cuentas inaccesibles, y el equipo está evaluando opciones de recuperación.
Gnosis Pay indicó que ampliará su equipo de seguridad, recurrirá a auditorías externas y extenderá el alcance de las revisiones de contratos inteligentes. Añadió que ya ha completado una reconstrucción integral del producto (v2) para reforzar su capacidad de respuesta ante incidentes. (Fuente: Foresight News)