Gnosis Pay phát hiện lỗ hổng xác thực chữ ký ERC1271, đã triển khai bản vá
Tóm tắt thị trường bằng AI
Gnosis Pay đã công bố một vụ khai thác ngày 1/6 liên quan đến việc xác thực chữ ký ERC1271 bị lỗi trong một mô-đun Zodiac, cho phép rút tiền trái phép bởi các hợp đồng đã revert nhưng vẫn trả về chỉ báo "hợp lệ". Khoảng 1,5 triệu USD đã bị rút sạch trên 5.281 ví (bao gồm khoảng 641 nghìn USD GNO), với thêm khoảng 300 nghìn USD khác bị mắc kẹt. Dù đã được vá vào ngày 5/6, sự cố này làm gia tăng nhận thức về rủi ro hợp đồng thông minh và có thể gây áp lực lên các tài sản liên quan đến Gnosis cũng như tâm lý về an ninh DeFi.
Mức ảnh hưởng
● Trung bình
Quan điểm AIQuan điểm AI
▼ Giá giảm
⚠️ Nhận định từ AI được tổng hợp từ tin tức và chỉ có giá trị tham khảo. Đây không phải là lời khuyên đầu tư và không thể hiện quan điểm của BingX. Đầu tư luôn đi kèm rủi ro. Vui lòng giao dịch có trách nhiệm.
Gnosis Pay cho biết đã công bố báo cáo hậu sự cố liên quan vụ việc an ninh ngày 1/6. Nguyên nhân bắt nguồn từ lỗi trong logic kiểm tra chữ ký ERC1271 của mô-đun Zodiac: hệ thống chỉ đọc giá trị trả về từ hợp đồng mà không xác nhận cuộc gọi có thực sự được thực thi thành công hay không. Kẻ tấn công đã lợi dụng điểm này bằng cách triển khai một hợp đồng cố ý làm cho lời gọi thất bại nhưng vẫn trả về chỉ báo "hợp lệ", từ đó tạo ủy quyền giả để rút tiền từ các tài khoản không thuộc sở hữu của họ.
Theo báo cáo, lỗ hổng được đưa vào từ tháng 10/2023 với phiên bản mã Zodiac 3.4.0 và đã được vá vào ngày 5/6. Nhóm tấn công đã rút khoảng 1,5 triệu USD từ 5.281 ví, gồm khoảng 641.000 USD GNO, 453.000 USD EURe và 399.000 USD USDC.e. Ngoài ra, khoảng 300.000 USD đang bị khóa trong các tài khoản không thể truy cập; đội ngũ đang đánh giá các phương án thu hồi.
Gnosis Pay cho biết sẽ mở rộng đội ngũ bảo mật, thuê kiểm toán bên ngoài và tăng phạm vi kiểm toán đối với các hợp đồng thông minh.