Gnosis Pay wykrywa lukę w walidacji podpisów ERC1271 w module Zodiac
Podsumowanie rynku AI
Powypadkowy przegląd Gnosis Pay opisuje lukę w walidacji podpisów ERC1271 w module Zodiac, która umożliwiła sfałszowane autoryzacje i nieautoryzowane wypłaty. Atakujący wyprowadzili około 1,5 mln USD z 5 281 portfeli, w tym ~641 tys. USD w GNO, a kolejne ~300 tys. USD utknęło na niedostępnych kontach. Choć podatność załatano, a następnie przeprowadzono przebudowę v2 i rozszerzono audyty, ujawnienie może ciążyć na krótkoterminowym zaufaniu do bezpieczeństwa smart kontraktów powiązanych z Gnosis.
Wpływ
● Średni
Analiza AIAnaliza AI
▼ Spadkowy
⚠️ Analizy generowane przez AI opierają się na treściach z wiadomości i mają charakter informacyjny. Nie stanowią porady inwestycyjnej ani nie odzwierciedlają poglądów BingX. Inwestowanie wiąże się z ryzykiem. Handluj odpowiedzialnie.
Według ME News 3 lipca (UTC+8) Gnosis Pay opublikował raport po incydencie dotyczącym zdarzenia z 1 czerwca. Spółka wskazała, że źródłem problemu był błąd w logice weryfikacji podpisów ERC1271 w module Zodiac: system odczytywał wyłącznie wartość zwracaną przez kontrakt, nie sprawdzając, czy wywołanie faktycznie zakończyło się powodzeniem.
Atakujący wykorzystali to, wdrażając kontrakt zaprojektowany tak, by kończył się niepowodzeniem, a jednocześnie zwracał wskaźnik "valid". Pozwoliło to na sfałszowanie autoryzacji i wypłatę środków z kont, które do nich nie należały.
Luka została wprowadzona wraz z wersją kodu Zodiac 3.4.0 w październiku 2023 r., a załatana 5 czerwca. Z raportu wynika, że atakujący wypłacili około 1,5 mln USD z 5 281 portfeli, w tym ok. 641 tys. USD w GNO, 453 tys. USD w EURe oraz 399 tys. USD w USDC.e. Dodatkowe ok. 300 tys. USD pozostaje zablokowane na niedostępnych kontach; zespół analizuje możliwości odzyskania środków.
Gnosis Pay zapowiedział rozbudowę zespołu ds. bezpieczeństwa, zlecanie zewnętrznych audytów oraz rozszerzenie zakresu audytów smart kontraktów. Firma informuje też, że ukończyła pełną przebudowę produktu (v2), aby wzmocnić zdolności reagowania na incydenty. (Źródło: Foresight News)