安全公司 Blockaid 和 PeckShield 报告称,Gnosis Safe 钱包的第三方模块被利用,在大约两个小时内从以太坊和 Base 的 86 个保险箱中盗取了约 320 万美元。跨链协议 Squid 坚决与该事件保持距离,并表示被利用的合约并非由其团队构建、部署或运营。
“名为 SquidRouterModule 的合约与 Squid 无关。我们还不知道是谁编写或部署了这个,”化名的 Squid 联合创始人 Fig 在 X 上写道。该项目的官方账户澄清说,其核心路由器架构仍然是独立的,并且未受到攻击的影响。
根据 Squid 的分析,该漏洞是可能的,因为易受攻击的模块接受调用者提供的常量字符串作为安全消息的证明。通过传递此字符串,攻击者可以执行任意调用数据并花费受害者保险箱中保存的令牌,而无需签名。
Blockaid 详细说明攻击者使用基于 Foundry 的漏洞合约来调用模块的“DelegateBundler”路径。这使得他们能够在每个 Safe 上模拟授权代表,并通过 Uniswap V3 池触发任意交换。目标资产通过攻击者创建的 Uniswap V3 池转移到名为“u”的毫无价值的代币中。
PeckShield 的调查显示,攻击者随后从这些池中移除了流动性,并将收益合并为约 307 万 DAI。这些资金目前保存在地址为“0xa447...54859”的钱包中。攻击者最初的 2.1 ETH 资金来自于隐私混合器 Tornado Cash。
Squid 强调,早期提到“SquidRouter”的报告在技术上是不准确的。该项目解释说,虽然该合约同名,但它是一个第三方产品,选择与 Squid 等协议集成,并且事先没有与 Squid 团队联系。
该事件发生的背景是去中心化金融(DeFi)领域遭受重大损失。 The Block 的数据仪表板显示,2026 年到目前为止,DeFi 的损失已超过 7.7 亿美元,仅 4 月份就发生了大约 30 起事件,损失超过 6.3 亿美元。
相关新闻中,Squid 最近宣布获得由 North Island Ventures 领投的 600 万美元战略融资,Ripple、Dilectic 和 Borderless 参与其中。该协议促进了跨链互操作性(历史上是一个脆弱的领域),声称已完成九次独立安全审核,之前没有被利用,正常运行时间为 99.99%。
上周,Fig 告诉 The Block,Squid 愿意与在市场其他地方出现安全问题后重新评估其跨链基础设施的项目进行对话。
免责声明:The Block 是一家独立媒体机构。截至 2023 年 11 月,Foresight Ventures 是主要投资者。 Foresight Ventures 投资其他加密货币公司。加密货币交易所 Bitget 是 Foresight Ventures 的主要 LP。 The Block 独立运营,提供有关加密行业的客观信息。