ตามรายงานการวิเคราะห์ความปลอดภัยจาก Zodiac ทีมได้เปิดเผยช่องโหว่ใน Zodiac Roles Modifier ซึ่งมีสาเหตุมาจากข้อบกพร่องในตรรกะการตรวจสอบลายเซ็นธุรกรรมของ ERC-1271 ระบบอาศัยเพียง “magic value” ที่ส่งกลับมาเพื่อยืนยันความถูกต้องของลายเซ็น โดยไม่ตรวจสอบว่าการเรียก (call) นั้นสำเร็จหรือไม่ ซึ่งอาจทำให้การตรวจสอบที่ล้มเหลวถูกปลอมเป็นลายเซ็นที่ถูกต้อง และหลีกเลี่ยงการยืนยันตัวตนโมดูลได้ Zodiac ชี้แจงว่าช่องโหว่นี้สามารถถูกใช้ประโยชน์ได้เฉพาะภายใต้คอนฟิกเฉพาะ โดยสมาชิกบทบาทที่เป็น EOA และการใช้งานอื่นที่ไม่ได้รับผลกระทบยังไม่ถูกกระทบ

ทีมได้แจ้งผู้ใช้งานที่ได้รับผลกระทบแล้ว และได้ปรับใช้เครื่องมือตรวจจับและซ่อมแซมด้วยตนเอง (self-service) มากกว่า 99% ของเงินที่มีความเสี่ยงได้รับการปกป้องผ่านความพยายามในการกู้คืนร่วมกับทีมผู้ทำหน้าที่ด้านความปลอดภัย (white hat) แล้ว สัญญาที่ได้รับผลกระทบได้รับการอัปเดตแพตช์และผ่านการตรวจสอบจากผู้ตรวจสอบอิสระ และขณะนี้บริการต่างๆ ดำเนินงานตามปกติ

news.view.source

news.article.disclaimer

news.related.news

06-20 03:57

THORChain เข้าสู่ระยะฟื้นตัวขั้นสุดท้ายในวันที่ 20 มิถุนายน โดยมีการตรวจสอบการยืนยันของ KeyVerify อยู่ระหว่างดำเนินการ

06-20 03:30

Zodiac เผยแพร่รายงานความปลอดภัยเกี่ยวกับช่องโหว่การยืนยัน ERC-1271 ใน Roles Modifier

06-19 13:30

THORChain หยุดชะงักต่อเนื่องเกิน 1 เดือน หลังพบช่องโหว่ด้านความปลอดภัย การเทรดบนเชนหยุดชะงัก

06-18 17:02

ตัวแทน AI ลงนามและดำเนินการข้อตกลงทางกฎหมายแบบดำเนินการได้เองเป็นครั้งแรกบน Ethereum

06-18 11:44