Gnosis Pay phát hiện lỗ hổng trong logic xác thực chữ ký ERC1271

Tóm tắt thị trường bằng AI
Báo cáo rà soát sau sự cố của Gnosis Pay nêu chi tiết một lỗ hổng xác thực chữ ký ERC1271 trong mô-đun Zodiac, cho phép giả mạo ủy quyền và rút tiền trái phép. Kẻ tấn công đã rút khoảng 1,5 triệu USD trên 5.281 ví, bao gồm khoảng 641 nghìn USD GNO, với khoảng 300 nghìn USD khác bị kẹt trong các tài khoản không thể truy cập. Dù đã được vá và sau đó là tái xây dựng phiên bản v2 cùng việc mở rộng kiểm toán, việc công bố này có thể gây áp lực lên niềm tin trong ngắn hạn đối với an ninh hợp đồng thông minh liên quan đến Gnosis.
Mức ảnh hưởng
● Trung bình
Quan điểm AIQuan điểm AI
▼ Giá giảm
⚠️ Nhận định từ AI được tổng hợp từ tin tức và chỉ có giá trị tham khảo. Đây không phải là lời khuyên đầu tư và không thể hiện quan điểm của BingX. Đầu tư luôn đi kèm rủi ro. Vui lòng giao dịch có trách nhiệm.
Theo ME News, ngày 3/7 (UTC+8), Gnosis Pay công bố báo cáo hậu kiểm về sự cố an ninh xảy ra ngày 1/6. Báo cáo cho biết nguyên nhân xuất phát từ lỗi trong logic xác minh chữ ký ERC1271 của mô-đun Zodiac: hệ thống chỉ đọc giá trị trả về của hợp đồng mà không kiểm tra liệu lời gọi có thực thi thành công hay không. Kẻ tấn công đã lợi dụng điểm yếu này bằng cách triển khai một hợp đồng cố ý khiến giao dịch thất bại nhưng vẫn trả về chỉ báo "hợp lệ", từ đó giả mạo ủy quyền và rút tiền từ các tài khoản không thuộc sở hữu của chúng. Lỗ hổng được đưa vào từ phiên bản mã Zodiac 3.4.0 vào tháng 10/2023 và đã được vá vào ngày 5/6. Theo báo cáo, kẻ tấn công đã rút khoảng 1,5 triệu USD từ 5.281 ví, gồm khoảng 641.000 USD GNO, 453.000 USD EURe và 399.000 USD USDC.e. Ngoài ra còn khoảng 300.000 USD đang bị khóa trong các tài khoản không thể truy cập; đội ngũ đang xem xét các phương án thu hồi. Gnosis Pay cho biết sẽ mở rộng đội ngũ bảo mật, thuê kiểm toán độc lập, mở rộng phạm vi kiểm toán hợp đồng thông minh và đã hoàn tất tái xây dựng toàn bộ sản phẩm (v2) nhằm nâng cao năng lực ứng phó an ninh. (Nguồn: Foresight News)