Gnosis Pay identifie une faille dans la validation des signatures ERC1271
Résumé du marché par IA
Le rapport d'analyse post-incident de Gnosis Pay détaille une faille de validation de signature ERC1271 dans le module Zodiac, qui a permis des autorisations falsifiées et des retraits non autorisés. Les attaquants ont extrait environ 1,5 M$ sur 5 281 portefeuilles, dont ~641 k$ en GNO, avec encore ~300 k$ bloqués dans des comptes inaccessibles. Bien que le problème ait été corrigé et suivi d'une reconstruction v2 ainsi que d'audits élargis, cette divulgation pourrait peser sur la confiance à court terme dans la sécurité des smart contracts liés à Gnosis.
Niveau d'impact
● Moyen
Infos de l'IAInfos de l'IA
▼ Baissier
⚠️ Les infos générées par l'IA sont basées sur des contenus d'actualité et fournies à titre informatif uniquement. Elles ne constituent pas des conseils en investissement et ne reflètent pas les positions de BingX. Investir comporte des risques. Tradez de manière responsable.
Selon ME News, le 3 juillet (UTC+8), Gnosis Pay a publié un rapport d'analyse post-incident sur l'attaque survenue le 1er juin. L'entreprise y explique que la faille provenait du module Zodiac, au niveau de la logique de vérification des signatures ERC1271 : le système se contentait de lire la valeur de retour du contrat, sans s'assurer que l'appel s'était exécuté avec succès.
Des attaquants ont tiré parti de cette faiblesse en déployant un contrat conçu pour échouer tout en renvoyant un indicateur "valide". Ils ont ainsi pu usurper une autorisation et retirer des fonds depuis des comptes ne leur appartenant pas.
La vulnérabilité a été introduite avec la version 3.4.0 du code Zodiac en octobre 2023. Un correctif a été déployé le 5 juin. Le rapport estime les retraits à environ 1,5 million de dollars sur 5 281 portefeuilles, dont près de 641 000 dollars en GNO, 453 000 dollars en EURe et 399 000 dollars en USDC.e. Environ 300 000 dollars supplémentaires resteraient bloqués dans des comptes inaccessibles, et l'équipe étudie des pistes de récupération.
Gnosis Pay indique vouloir renforcer son équipe sécurité, recourir à des audits externes et étendre le périmètre des audits de smart contracts. L'entreprise affirme également avoir achevé une reconstruction complète du produit (v2) afin d'améliorer ses capacités de réponse aux incidents. (Source : Foresight News)