漏洞根源与攻击方式
Gnosis Pay 在 6 月 1 日安全事件复盘报告中表示,问题源自 Zodiac 模块中 ERC-1271 签名校验逻辑的缺陷。具体来说,系统在验证合约签名时,只读取了合约返回结果,却没有检查这次调用是否真正执行成功。攻击者正是利用了这一点,部署了一个会故意执行失败、但仍返回“有效”标识的合约,从而伪造授权,进而提取并不属于其本人的账户资金。
这一缺陷并非近期新出现。报告显示,漏洞是在 2023 年 10 月随 Zodiac 代码 3.4.0 版本一同引入的。Gnosis Pay 已于 6 月 5 日完成修复,并对事件经过、受影响范围以及后续处理方案作出披露。
资金损失与受影响范围
按照官方复盘,攻击者合计转走约 150 万美元资金,涉及 5281 个钱包。从资产构成来看,被提取资金主要包括:GNO 约 64.1 万美元、EURe 约 45.3 万美元、USDC.e 约 39.9 万美元。报告同时提到,另有约 30 万美元资产目前被锁定在无法访问的账户中,团队正在评估并探索可能的找回路径。
从披露的信息看,此次事件的影响面较广,不仅涉及多个钱包地址,也覆盖多种资产类型。由于攻击方式建立在授权伪造之上,其核心问题并不在单一代币本身,而在签名验证流程中的逻辑判断失效。
修复进展与后续安全措施
Gnosis Pay 表示,除已完成漏洞修复外,后续还将进一步扩充安全团队,引入外部审计,并扩大智能合约审计范围,以降低类似问题再次发生的概率。官方同时披露,产品的全面重建版本 v2 已经完成,目标是提升整体安全架构以及事件响应能力。
这份复盘也说明,团队正在把工作重点放在两个方向:一是处理已受影响资产,包括对约 30 万美元锁定资金的追回方案研究;二是从开发、审计到响应流程进行系统性调整。原始信息来源为 Gnosis 官方博客披露的事后报告。

