Gnosis Pay、ERC1271署名検証ロジックの脆弱性を公表

AI マーケットサマリー
Gnosis Pay'sはインシデント後のレビューで、ZodiacモジュールにおけるERC1271の署名検証の欠陥を詳細に示し、これが偽造された承認と不正な引き出しを可能にしたとした。攻撃者は5,281のウォレットから約150万ドルを流出させ、その中にはGNOで約64.1万ドル相当が含まれ、さらに約30万ドル相当がアクセス不能なアカウントに取り残されている。修正が施され、その後v2の再構築と監査の拡大が行われたものの、この開示は短期的にはGnosis関連スマートコントラクトのセキュリティに対する信頼感を重しとなって圧迫する可能性がある。
影響度
● 中
AI インサイトAI インサイト
▼ 弱気
⚠️ AI によって生成されたインサイトはニュースコンテンツに基づくものであり、情報提供のみを目的としています。投資助言を構成するものではなく、BingX の見解を示すものでもありません。投資にはリスクが伴います。責任ある取引を心がけてください。
ME Newsによると、Gnosis Payは6月1日に発生したセキュリティ事案に関するポストモーテム(事後検証)を7月3日(UTC+8)に公表した。原因はZodiacモジュールにおけるERC1271署名検証ロジックの不備で、コントラクト呼び出しの成否を確認せず、戻り値のみを参照していたという。 攻撃者は、実行自体は失敗する一方で"有効"を示す値を返すよう設計したコントラクトを展開。これにより認可を偽造し、本人が所有しないアカウントから資金を引き出した。 同脆弱性は2023年10月のZodiacコードv3.4.0で混入し、6月5日に修正済み。報告書では、被害は5,281ウォレットに及び、流出額は約150万ドルと推定される。内訳はGNOが約64.1万ドル、EUReが約45.3万ドル、USDC.eが約39.9万ドル。別途、約30万ドル相当がアクセス不能なアカウントにロックされたままで、チームは回収手段を検討している。 Gnosis Payは、セキュリティ体制の拡充(専任チームの増強、外部監査の実施、スマートコントラクト監査範囲の拡大)を進める方針を示した。加えて、セキュリティ対応力を高めるため、製品の全面再構築(v2)も完了したとしている。(出典:Foresight News)