Gnosis Pay、ERC1271署名検証の脆弱性を特定 修正を完了
AI マーケットサマリー
Gnosis Payは、Zodiacモジュールにおける欠陥のあるERC1271署名検証に起因する6月1日のエクスプロイトを開示し、リバートしたにもかかわらず"有効"の指標を返してしまうコントラクトによる不正な出金を可能にした。約5281のウォレット(約64.1万ドルのGNOを含む)から総額約150万ドルが流出し、さらに約30万ドルが取り残された。6月5日にパッチが適用されたものの、このインシデントはスマートコントラクトのリスク認識を高め、Gnosis関連資産およびDeFiのセキュリティ・センチメントに下押し圧力を与える可能性がある。
影響度
● 中
AI インサイトAI インサイト
▼ 弱気
⚠️ AI によって生成されたインサイトはニュースコンテンツに基づくものであり、情報提供のみを目的としています。投資助言を構成するものではなく、BingX の見解を示すものでもありません。投資にはリスクが伴います。責任ある取引を心がけてください。
Gnosis Payは公式発表で、6月1日に発生したセキュリティ事案に関する事後検証レポートを公開した。原因はZodiacモジュールにおけるERC1271署名検証ロジックの不備で、コントラクト呼び出しが成功したかどうかを確認せず、戻り値だけを参照していたという。
攻撃者は、意図的に処理を失敗させつつも"有効"を示す値を返すコントラクトを展開。これにより署名が正当と誤認され、本人が所有しないアカウントからの資金引き出しが可能になった。
同脆弱性は2023年10月のZodiacコード(バージョン3.4.0)で混入し、6月5日に修正された。レポートによると、攻撃者は5,281のウォレットから合計約150万ドルを引き出し、内訳はGNOが約64.1万ドル、EUReが約45.3万ドル、USDC.eが約39.9万ドル。さらに約30万ドル相当の資金がアクセス不能なアカウントにロックされており、チームは回収手段を検討している。
Gnosis Payは今後、セキュリティチームの拡充、外部監査の実施、スマートコントラクト監査範囲の拡大を進める方針だ。