Gnosis Pay 揭露,一個追溯至 2023 年 10 月的軟體漏洞導致其卡片安全基礎設施遭到 150 萬美元的攻擊,同時確認所有受影響的使用者已獲得全額賠償。
根據 Gnosis Pay 週五發布的事後分析,該漏洞追溯至 Zodiac 智能合約框架的 3.4.0 版本,並自 2023 年 10 月 30 日起一直未被發現。
該公司表示,此弱點在 6 月 1 日遭到利用,使攻擊者能夠控制其去中心化自我託管支付網路中約 150 萬美元的數位資產。
報告指出,由資金管理員 NOCA 營運的 Gnosis Pay 監控系統,在 6 月 1 日 14:17 (UTC +8) 偵測到第一筆未經授權的轉帳。工程師在初始警報後兩小時內確認了根本原因,隨後該公司暫停卡片服務,暫時停止其通往 Gnosis Chain 的橋接,並與穩定幣發行商分享攻擊者的錢包位址以協助追蹤被盜資金。Gnosis Pay 也通知了可能暴露於相同漏洞的外部專案。
事件發生後,Gnosis Pay 分多個階段恢復了客戶存取權限。該公司表示,在部署新的卡片安全模組後,首批受影響的帳戶在 6 月 3 日晚間恢復了對其餘額和支付卡片的存取權限。安裝工作在接下來的幾天內持續進行,到 6 月 6 日已為 99% 的使用者恢復服務,其餘帳戶也在隨後不久恢復。
Gnosis Pay 表示其自行吸收了財務損失,使客戶在這次攻擊中沒有遭受任何損失。根據事後分析,攻擊者主要盜取了 GNO、EURe、USDC.e 及其他幾種數位資產。該公司補充說,價值約 30 萬美元的資產尚未追回,追回工作仍在進行中。
報告還揭露,有 5,281 個持有至少 1 美元的錢包受到此次攻擊的影響。Gnosis Pay 公布了事件期間使用的攻擊者錢包位址,識別為 0x5a7…7a35,並解釋該攻擊針對其卡片安全基礎設施中的兩個組件:延遲模組和角色模組。
此揭露之際,安全事件持續影響加密貨幣基礎設施供應商。正如 crypto.news 先前報導,Humanity Protocol 最近確認其正重新定位至企業人工智慧產品,因為一次 3,600 萬美元的攻擊加速了一項已考慮數個月的內部重組。
在一次訪談中,Humanity Protocol 創辦人 Terence Kwok 表示,公司在漏洞發生前的六到九個月內一直在審查其長期方向。他解釋說,這次攻擊加速了這些計畫,並補充說數位身分將保持核心地位,因為企業 AI 系統將需要可靠的方式來驗證人員和憑證。
同時,對加密貨幣相關網路犯罪的擔憂也引起了政府領導人的關注。早些時候,G7 領導人在法國埃維昂萊班舉行峰會後發表聯合聲明,呼籲採取協調行動打擊北韓的加密貨幣盜竊和網路犯罪。
該聲明將此問題與長期以來的擔憂聯繫起來,即被盜的數位資產幫助資助了平壤在國際制裁下的核武和彈道飛彈計畫,這一說法多次獲得西方政府和區塊鏈分析公司的支持。


