Gnosis Pay individua una vulnerabilità nella validazione delle firme ERC1271 e rilascia una correzione
Riepilogo di mercato AI
Gnosis Pay ha divulgato un exploit del 1° giugno legato a una convalida difettosa delle firme ERC1271 in un modulo Zodiac, che ha consentito prelievi non autorizzati da parte di contratti che facevano revert ma restituivano comunque un indicatore "valido". Circa 1,5 milioni di dollari sono stati sottratti su 5.281 wallet (inclusi ~641.000 dollari in GNO), con ulteriori ~300.000 dollari bloccati. Sebbene sia stato applicato un patch il 5 giugno, l'incidente accresce le percezioni di rischio legate agli smart contract e potrebbe esercitare pressione sugli asset collegati a Gnosis e sul sentiment relativo alla sicurezza della DeFi.
Livello dell'impatto
● Medium
Approfondimenti AIApprofondimenti AI
▼ Ribassista
⚠️ Le analisi generate dall'AI si basano sui contenuti delle notizie e sono forniti esclusivamente a scopo informativo. Non costituiscono consulenza in materia di investimenti né rappresentano le opinioni di BingX. Investire comporta rischi. Fai trading in modo responsabile.
Gnosis Pay ha pubblicato il rapporto di post-mortem sull'incidente di sicurezza del 1° giugno, chiarendo che l'origine del problema è stata un errore nella logica di verifica delle firme ERC1271 all'interno del modulo Zodiac. In particolare, il sistema si limitava a leggere il valore restituito dal contratto senza controllare che la chiamata fosse stata eseguita con successo.
Gli attaccanti hanno sfruttato la falla distribuendo un contratto che fallisce intenzionalmente, ma che restituisce comunque un indicatore di "validità", ottenendo così un'autorizzazione fraudolenta al prelievo di fondi da conti non di loro proprietà.
La vulnerabilità era stata introdotta a ottobre 2023 con la versione 3.4.0 del codice Zodiac ed è stata corretta il 5 giugno. Dal rapporto emerge che sono stati sottratti circa 1,5 milioni di dollari da 5.281 wallet, inclusi circa 641.000 dollari in GNO, 453.000 dollari in EURe e 399.000 dollari in USDC.e. Altri 300.000 dollari risultano bloccati in account non accessibili; il team sta valutando possibili opzioni di recupero.
Gnosis Pay ha inoltre annunciato che rafforzerà il team di sicurezza, ricorrerà a audit esterni e amplierà il perimetro delle verifiche sui contratti smart.