Gnosis Pay виявила вразливість у логіці перевірки підписів ERC1271

Ринкове зведення ШІ
Післяінцидентний огляд Gnosis Pay детально описує ваду перевірки підписів ERC1271 у модулі Zodiac, яка дала змогу підробляти авторизації та здійснювати несанкціоновані виведення коштів. Зловмисники вивели приблизно $1.5m з 5,281 гаманців, зокрема близько ~$641k у GNO, ще близько ~$300k застрягли в недоступних акаунтах. Хоча ваду виправили, після чого виконали перебудову v2 та розширили аудити, розкриття інформації може тиснути на найближчу довіру до безпеки смартконтрактів, пов'язаних із Gnosis.
Рівень впливу
● Середній
Інсайт ШІІнсайт ШІ
▼ Ведмежий
⚠️ Інсайти, згенеровані ШІ, ґрунтуються на новинних матеріалах і надаються виключно з інформаційною метою. Вони не є інвестиційною порадою та не відображають поглядів BingX. Інвестування пов’язане з ризиком. Будь ласка, торгуйте відповідально.
За даними ME News, 3 липня (UTC+8) Gnosis Pay опублікувала постінцидентний звіт щодо події безпеки, що сталася 1 червня. У документі компанія повідомила, що першопричиною стала помилка в модулі Zodiac у логіці валідації підписів ERC1271: система зчитувала лише значення, яке повертав контракт, але не перевіряла, чи виклик був виконаний успішно. Зловмисники скористалися цим, розгорнувши контракт, який навмисно завершувався невдачею, але все одно повертав індикатор "valid". Це дозволило підробити авторизацію та вивести кошти з рахунків, що їм не належали. Як зазначається у звіті, вразливість з'явилася у версії коду Zodiac 3.4.0 у жовтні 2023 року та була усунута 5 червня. Атакувальники, за оцінкою компанії, вивели близько $1,5 млн із 5 281 гаманця, зокрема приблизно $641 тис. у GNO, $453 тис. у EURe та $399 тис. у USDC.e. Ще близько $300 тис. залишаються заблокованими в недоступних акаунтах; команда вивчає можливі варіанти повернення. Gnosis Pay також заявила, що посилить команду безпеки, залучить зовнішні аудити та розширить охоплення аудитів смартконтрактів. Крім того, компанія вже завершила повне перевипускання продукту (v2), щоб підвищити здатність реагувати на інциденти безпеки. (Джерело: Foresight News)