Gnosis Pay のセキュリティインシデントの振り返り:脆弱性は署名検証ロジックの欠陥に起因し、修正が完了した。

robot
概要作成中
ME News 消息,7 月 3 日(UTC+8)、Gnosis Pay は 6 月 1 日のセキュリティインシデントに関する報告書を公開し、脆弱性の根本原因が Zodiac モジュール内の ERC-1271 署名検証ロジックに欠陥があったことを明らかにした。システムはコントラクトからの返り値のみを読み取り、呼び出しが実際に成功したかどうかをチェックしていなかったため、攻撃者は意図的に失敗するが「有効」を示す値を返すコントラクトをデプロイし、自分以外のアカウントから資金を引き出す権限を偽装した。この脆弱性は Zodiac コード 3.4.0 バージョンで 2023 年 10 月に導入され、6 月 5 日に修正が完了した。報告書によると、攻撃者は約 150 万ドルを引き出し、5281 のウォレットに影響が及び、その内訳は GNO 約 64.1 万ドル、EURe 約 45.3 万ドル、USDC.e 約 39.9 万ドル。また、約 30 万ドルの資金がアクセス不能なアカウントにロックされており、チームは回収方法を模索中である。Gnosis Pay は今後、セキュリティチームの拡充、外部監査の導入、スマートコントラクト監査範囲の拡大を実施し、製品全体の再構築(v2)を完了してセキュリティ対応能力を向上させると述べている。(出典:Foresight News)
GNO1.56%
USDC-0.01%
原文表示
このページには第三者のコンテンツが含まれている場合があり、情報提供のみを目的としております(表明・保証をするものではありません)。Gateによる見解の支持や、金融・専門的な助言とみなされるべきものではありません。詳細については免責事項をご覧ください。
  • 報酬
  • コメント
  • リポスト
  • 共有
コメント
コメントを追加
コメントを追加
コメントなし
  • ピン留め