Gnosis Pay تكشف ثغرة في التحقق من تواقيع ERC1271 وتطرح إصلاحاً
ملخص سوق AI
كشفت Gnosis Pay عن استغلال في 1 يونيو مرتبط بخلل في التحقق من صحة توقيع ERC1271 ضمن وحدة Zodiac، ما أتاح سحوبات غير مصرح بها من خلال عقود كانت تُرجِع (revert) لكنها ما تزال تُعيد مؤشراً "صالحاً". تم استنزاف نحو 1.5 مليون دولار عبر 5,281 محفظة (بما في ذلك نحو 641 ألف دولار من GNO)، مع بقاء نحو 300 ألف دولار إضافية عالقة. وعلى الرغم من تطبيق التصحيح في 5 يونيو، فإن الحادثة تعزز تصورات مخاطر العقود الذكية وقد تضغط على الأصول المرتبطة بـ Gnosis ومعنويات أمن DeFi.
مستوى التأثير
● متوسط
رؤية AIرؤية AI
▼ هابط
⚠️ الرؤى التي يُنشئها AI مبنية على محتوى الأخبار، وتُقدَّم لأغراض معلوماتية فقط. لا تُشكّل نصيحة استثمارية، ولا تعبّر عن آراء BingX. ينطوي الاستثمار على مخاطر. يُرجى التداول بمسؤولية.
أعلنت Gnosis Pay أنها نشرت تقرير مراجعة ما بعد الحادثة بشأن واقعة أمنية حدثت في 1 يونيو، كاشفة أن السبب يعود إلى خلل في منطق التحقق من تواقيع ERC1271 داخل وحدة Zodiac. وأوضح التقرير أن النظام كان يكتفي بقراءة قيمة الإرجاع من العقد دون التأكد من أن الاستدعاء نُفّذ بنجاح فعلياً. واستغل مهاجمون ذلك عبر نشر عقد يتعمد الفشل لكنه يعيد مؤشر "صالح"، ما يؤدي إلى منح تفويض زائف لسحب أموال من حسابات لا يملكونها.
وبحسب التقرير، أُدخلت الثغرة في أكتوبر 2023 مع إصدار كود Zodiac رقم 3.4.0، وتمت معالجتها في 5 يونيو. وتشير البيانات إلى أن المهاجمين سحبوا نحو 1.5 مليون دولار عبر 5,281 محفظة، منها قرابة 641 ألف دولار من GNO، و453 ألف دولار من EURe، و399 ألف دولار من USDC.e. كما ذكر التقرير أن نحو 300 ألف دولار إضافية باتت مقفلة في حسابات غير قابلة للوصول، وأن الفريق يدرس خيارات الاسترداد.
وقالت Gnosis Pay إنها ستعمل لاحقاً على توسيع فريق الأمن، والاستعانة بعمليات تدقيق خارجية، وتوسيع نطاق تدقيق العقود الذكية.