Gnosis Pay 披露 ERC1271 簽名驗證漏洞成因並完成修補
AI 市場總結
Gnosis Pay 披露一宗發生於 6 月 1 日、與 Zodiac 模組中存在缺陷的 ERC1271 簽名驗證相關的漏洞利用事件,令會回復(revert)但仍返回"有效"指標的合約得以進行未經授權的提取。約 150 萬美元從 5,281 個錢包被抽走(包括約 64.1 萬美元的 GNO),另有約 30 萬美元資金被困。儘管已於 6 月 5 日完成修補,事件加劇市場對智能合約風險的觀感,並可能對與 Gnosis 相關資產及 DeFi 安全情緒構成壓力。
影響等級
● 中
AI 觀點AI 觀點
▼ 看空
⚠️ AI觀點僅為演算法基於新聞內容的自動生成分析,不構成投資建議,不代表BingX立場。市場有風險,投資需謹慎。
Gnosis Pay 在官方公告中發表 6 月 1 日安全事件的事後檢討報告,指出漏洞源於 Zodiac 模組內 ERC1271 簽名驗證邏輯的缺陷:系統僅讀取合約的回傳結果,未核實該次呼叫是否成功執行。攻擊者因此可部署一個刻意執行失敗、但仍回傳 "valid" 標記的合約,藉此偽造授權,從並非其擁有的帳戶提取資金。
報告稱,漏洞在 2023 年 10 月隨 Zodiac 3.4.0 版本引入,並已於 6 月 5 日完成修補。事件中,攻擊者合共從 5,281 個錢包提走約 150 萬美元資產,當中包括約 64.1 萬美元的 GNO、45.3 萬美元的 EURe 及 39.9 萬美元的 USDC.e。另有約 30 萬美元資金被鎖定於無法存取的帳戶,團隊正研究可行的追回方案。
Gnosis Pay 表示,後續將擴充安全團隊、引入外部審計,並擴大智能合約審計範圍。