Gnosis Pay corrige une faille de validation de signature ERC1271 et publie son retour d'incident
Résumé du marché par IA
Gnosis Pay a révélé un exploit du 1er juin lié à une validation de signature ERC1271 défectueuse dans un module Zodiac, permettant des retraits non autorisés par des contrats qui revenaient en arrière mais renvoyaient malgré tout un indicateur "valide". Environ 1,5 M$ ont été siphonnés sur 5'1681 portefeuilles (dont ~641 k$ en GNO), avec ~300 k$ supplémentaires immobilisés. Bien que corrigé le 5 juin, l'incident accroît les perceptions de risque liées aux smart contracts et pourrait peser sur les actifs liés à Gnosis ainsi que sur le sentiment de sécurité DeFi.
Niveau d'impact
● Moyen
Infos de l'IAInfos de l'IA
▼ Baissier
⚠️ Les infos générées par l'IA sont basées sur des contenus d'actualité et fournies à titre informatif uniquement. Elles ne constituent pas des conseils en investissement et ne reflètent pas les positions de BingX. Investir comporte des risques. Tradez de manière responsable.
Gnosis Pay a publié un rapport de retour d'incident concernant l'attaque du 1er juin. L'entreprise indique que la faille provenait d'un défaut dans la logique de vérification des signatures ERC1271 au sein du module Zodiac : le système se contentait de lire la valeur de retour du contrat sans s'assurer que l'appel avait bien été exécuté avec succès.
Des attaquants ont tiré parti de ce comportement en déployant un contrat conçu pour échouer intentionnellement tout en renvoyant un indicateur "valide", ce qui leur a permis d'autoriser à tort des retraits depuis des comptes ne leur appartenant pas.
Selon le rapport, la vulnérabilité a été introduite en octobre 2023 avec la version 3.4.0 du code Zodiac, puis corrigée le 5 juin. Les assaillants auraient retiré environ 1,5 million de dollars sur 5 281 portefeuilles, dont environ 641 000 $ en GNO, 453 000 $ en EURe et 399 000 $ en USDC.e. Environ 300 000 $ supplémentaires restent bloqués sur des comptes inaccessibles, et l'équipe étudie des options de récupération.
Gnosis Pay annonce qu'il renforcera ses effectifs sécurité, fera appel à des audits externes et élargira le périmètre des audits de ses smart contracts.