TechFlow rapporte qu’au 20 juin, l’équipe Zodiac a publié un rapport d’analyse sur un incident de sécurité affectant le module Zodiac Roles Modifier. Ce rapport révèle que la cause fondamentale du problème réside dans une faille logique de vérification des signatures de transactions ERC-1271 : le système détermine la validité d’une signature uniquement en fonction de la « valeur magique » renvoyée, sans vérifier si l’appel lui-même a bien abouti. Par conséquent, une vérification ayant échoué peut être masquée pour apparaître comme une signature valide, permettant ainsi de contourner le mécanisme d’authentification du module.
Zodiac précise que cette vulnérabilité ne peut être exploitée que dans des configurations spécifiques ; les membres utilisant des comptes externes (EOA) et les déploiements n’utilisant pas ce module ne sont pas concernés. Les utilisateurs impactés ont déjà été informés, et un outil automatisé de détection et de correction est désormais disponible. Par ailleurs, Zodiac collabore avec une équipe de « hackers éthiques » afin de récupérer les actifs concernés : plus de 99 % des fonds potentiellement exposés ont déjà été sécurisés. Les contrats intelligents concernés ont été corrigés et soumis à un audit indépendant ; le service est désormais pleinement rétabli.
