Zodiac 发布了对最近影响其 Roles Modifier 模块的安全事件的详细分析,查明了 ERC-1271 签名验证逻辑实现中的关键缺陷的根本原因。
根据 ChainCatcher 的说法,该漏洞源于系统仅依赖检查返回的“魔法值”来验证签名,而没有确认底层智能合约调用是否确实成功。这种疏忽可能会导致失败的验证尝试被误解为有效签名。
Zodiac 警告说,这种设计缺陷可能使攻击者能够绕过模块的身份验证机制,从而损害旨在保护去中心化应用程序中基于角色的操作的访问控制。
Zodiac 发布了对最近影响其 Roles Modifier 模块的安全事件的详细分析,查明了 ERC-1271 签名验证逻辑实现中的关键缺陷的根本原因。
根据 ChainCatcher 的说法,该漏洞源于系统仅依赖检查返回的“魔法值”来验证签名,而没有确认底层智能合约调用是否确实成功。这种疏忽可能会导致失败的验证尝试被误解为有效签名。
Zodiac 警告说,这种设计缺陷可能使攻击者能够绕过模块的身份验证机制,从而损害旨在保护去中心化应用程序中基于角色的操作的访问控制。