Gnosis Pay พบช่องโหว่การตรวจสอบลายเซ็น ERC1271 เร่งอุดช่องโหว่แล้ว

สรุปภาพรวมตลาดด้วย AI
Gnosis Pay เปิดเผยการโจมตีเมื่อวันที่ 1 มิถุนายนที่เชื่อมโยงกับการตรวจสอบความถูกต้องของลายเซ็น ERC1271 ที่บกพร่องในโมดูล Zodiac ซึ่งเอื้อให้เกิดการถอนเงินโดยไม่ได้รับอนุญาตโดยสัญญาที่ revert แต่ยังคงส่งคืนตัวบ่งชี้ว่า "valid" ได้ มีเงินถูกระบายออกไปราว 1.5 ล้านดอลลาร์จาก 5,281 วอลเล็ต (รวมถึง GNO ราว 641,000 ดอลลาร์) และมีอีกราว 300,000 ดอลลาร์ที่ติดค้างอยู่ แม้จะมีการอุดช่องโหว่เมื่อวันที่ 5 มิถุนายน เหตุการณ์ดังกล่าวยิ่งเพิ่มการรับรู้ความเสี่ยงของสมาร์ตคอนแทรกต์ และอาจกดดันสินทรัพย์ที่เชื่อมโยงกับ Gnosis และความเชื่อมั่นด้านความปลอดภัยของ DeFi
ระดับผลกระทบ
● ปานกลาง
ข้อมูลเชิงลึกจาก AIข้อมูลเชิงลึกจาก AI
▼ ขาลง
⚠️ ข้อความเชิงลึกนี้สร้างขึ้นโดย AI โดยอ้างอิงจากเนื้อหาข่าวเพื่อใช้เป็นข้อมูลอ้างอิงเท่านั้น ไม่ถือเป็นคำแนะนำในการลงทุนหรือสะท้อนทัศนะของ BingX การลงทุนมีความเสี่ยง โปรดซื้อขายด้วยความระมัดระวัง
Gnosis Pay เผยแพร่รายงานทบทวนหลังเหตุการณ์ (postincident review) เกี่ยวกับเหตุด้านความปลอดภัยเมื่อวันที่ 1 มิถุนายน โดยระบุว่าต้นตอของปัญหาเกิดจากตรรกะการตรวจสอบลายเซ็นตามมาตรฐาน ERC1271 ภายในโมดูล Zodiac ซึ่งระบบอ่านเพียงค่าที่คอนแทรกต์ส่งกลับมา โดยไม่ได้ตรวจสอบว่าการเรียกใช้งานสำเร็จจริงหรือไม่ ผู้โจมตีอาศัยช่องว่างดังกล่าวด้วยการดีพลอยคอนแทรกต์ที่ตั้งใจให้การเรียกใช้งานล้มเหลว แต่ยังส่งค่าสถานะ "valid" กลับมา ทำให้ระบบเข้าใจผิดและอนุมัติการถอนเงินจากบัญชีที่ผู้โจมตีไม่ได้เป็นเจ้าของ รายงานระบุว่า ช่องโหว่นี้ถูกนำเข้ามาตั้งแต่เดือนตุลาคม 2023 ในโค้ด Zodiac เวอร์ชัน 3.4.0 และได้รับการแก้ไขแล้วเมื่อวันที่ 5 มิถุนายน ความเสียหายรวมอยู่ที่ราว 1.5 ล้านดอลลาร์ ครอบคลุม 5,281 วอลเล็ต แยกเป็นประมาณ 641,000 ดอลลาร์ใน GNO, 453,000 ดอลลาร์ใน EURe และ 399,000 ดอลลาร์ใน USDC.e นอกจากนี้ยังมีเงินอีกราว 300,000 ดอลลาร์ถูกล็อกอยู่ในบัญชีที่ไม่สามารถเข้าถึงได้ โดยทีมงานกำลังพิจารณาทางเลือกในการกู้คืน Gnosis Pay ระบุว่าจะขยายทีมความปลอดภัย จ้างการตรวจสอบจากภายนอก และเพิ่มขอบเขตการตรวจสอบสมาร์ตคอนแทรกต์ในระยะถัดไป