Gnosis Pay Temukan Celah Validasi Tanda Tangan ERC1271, Rilis Perbaikan
Ringkasan Pasar AI
Gnosis Pay mengungkapkan eksploit pada 1 Juni yang terkait dengan validasi tanda tangan ERC1271 yang cacat dalam sebuah modul Zodiac, yang memungkinkan penarikan tidak sah oleh kontrak yang melakukan revert tetapi tetap mengembalikan indikator "valid". Sekitar $1,5 juta terkuras di 5.281 dompet (termasuk ~ $641 ribu GNO), dengan tambahan ~ $300 ribu terdampar. Meski telah ditambal pada 5 Juni, insiden ini meningkatkan persepsi risiko smart contract dan dapat menekan aset terkait Gnosis serta sentimen keamanan DeFi.
Level dampak
● Sedang
Wawasan AIWawasan AI
▼ Bearish
⚠️ Wawasan yang dihasilkan AI didasarkan pada konten berita dan disediakan untuk tujuan informasi saja. Wawasan ini bukan nasihat investasi dan tidak mencerminkan pandangan BingX. Investasi melibatkan risiko. Harap trade secara bertanggung jawab.
Gnosis Pay menerbitkan laporan post-incident terkait insiden keamanan 1 Juni. Perusahaan menjelaskan bahwa akar masalah berasal dari kelemahan logika verifikasi tanda tangan ERC1271 pada modul Zodiac. Sistem hanya membaca nilai balikan (return) dari kontrak tanpa memastikan panggilan (call) benar-benar dieksekusi dengan sukses.
Penyerang memanfaatkan celah ini dengan mengerahkan kontrak yang sengaja gagal dieksekusi tetapi tetap mengembalikan indikator "valid". Akibatnya, sistem keliru mengotorisasi penarikan dana dari akun yang bukan milik penyerang.
Menurut laporan, celah tersebut masuk pada Oktober 2023 seiring rilis kode Zodiac versi 3.4.0 dan telah ditambal pada 5 Juni. Penyerang dilaporkan menarik sekitar US$1,5 juta dari 5.281 wallet, terdiri dari sekitar US$641.000 dalam GNO, US$453.000 dalam EURe, dan US$399.000 dalam USDC.e. Tambahan sekitar US$300.000 terkunci di akun yang tidak dapat diakses; tim tengah meninjau opsi pemulihan.
Gnosis Pay menyatakan akan memperkuat kapasitas keamanan dengan memperluas tim, melibatkan audit eksternal, serta memperluas cakupan audit smart contract.