Gnosis Pay Temukan Celah Keamanan pada Logika Validasi Tanda Tangan ERC1271

Ringkasan Pasar AI
Tinjauan pasca-insiden Gnosis Pay merinci cacat validasi tanda tangan ERC1271 pada modul Zodiac yang memungkinkan otorisasi palsu dan penarikan tidak sah. Penyerang mengekstrak sekitar $1,5 juta di 5.281 dompet, termasuk ~ $641 ribu dalam GNO, dengan sekitar ~ $300 ribu lainnya terjebak di akun yang tidak dapat diakses. Meski sudah ditambal dan diikuti dengan pembangunan ulang v2 serta audit yang diperluas, pengungkapan tersebut dapat membebani kepercayaan jangka pendek terhadap keamanan smart contract yang terkait dengan Gnosis.
Level dampak
● Sedang
Wawasan AIWawasan AI
▼ Bearish
⚠️ Wawasan yang dihasilkan AI didasarkan pada konten berita dan disediakan untuk tujuan informasi saja. Wawasan ini bukan nasihat investasi dan tidak mencerminkan pandangan BingX. Investasi melibatkan risiko. Harap trade secara bertanggung jawab.
Menurut ME News, pada 3 Juli (UTC+8) Gnosis Pay merilis laporan post-incident review atas insiden keamanan 1 Juni. Perusahaan menjelaskan, akar masalah berasal dari cacat pada logika verifikasi tanda tangan ERC1271 di modul Zodiac: sistem hanya membaca nilai yang dikembalikan kontrak tanpa memastikan apakah pemanggilan (call) benar-benar berhasil dieksekusi. Pelaku memanfaatkan kelemahan ini dengan membuat kontrak yang sengaja gagal dieksekusi tetapi tetap mengembalikan indikator "valid", sehingga dapat memalsukan otorisasi dan menarik dana dari akun yang bukan miliknya. Celah tersebut diperkenalkan melalui Zodiac versi 3.4.0 pada Oktober 2023 dan telah ditambal pada 5 Juni. Laporan menyebut dana yang ditarik pelaku sekitar US$1,5 juta dari 5.281 wallet, termasuk sekitar US$641.000 dalam GNO, US$453.000 dalam EURe, dan US$399.000 dalam USDC.e. Sekitar US$300.000 lainnya masih terkunci di akun yang tidak dapat diakses, dan tim sedang mengevaluasi opsi pemulihan. Gnosis Pay menyatakan akan memperluas tim keamanan, melibatkan audit eksternal, memperluas cakupan audit smart contract, serta telah menyelesaikan pembangunan ulang produk secara penuh (v2) untuk memperkuat kapabilitas respons keamanan. (Sumber: Foresight News)