Gnosis Pay cho biết hệ thống từng gặp một vụ khai thác bảo mật vào ngày 1/6, khiến khoảng 1,5 triệu USD bị rút từ ví của một số người dùng.
Khoảng 300.000 USD trong số đó tạm thời không thể truy cập. Gnosis nói đã tự chịu toàn bộ thiệt hại và hoàn tất bồi thường cho người dùng bị ảnh hưởng.
Vụ việc liên quan đến lỗ hổng xác minh chữ ký trong Zodiac’s Delay Module và Roles Module, cho phép kẻ tấn công giả mạo ủy quyền rút tiền. Điểm yếu nằm ở logic xác thực chữ ký ERC-1271 khi không kiểm tra việc staticcall có thực sự thực thi thành công hay không.
Theo cập nhật mới nhất, hơn 99% dịch vụ đã được khôi phục. Gnosis cũng cho biết đang mở rộng phạm vi kiểm toán bảo mật và giám sát các thành phần phụ thuộc.