Squid 迅速采取行动,强调最近价值 300 万美元的漏洞攻击目标是名为 SquidRouterModule 的第三方 Gnosis Safe 模块,而不是其核心跨链路由合约,以太坊和 Base 上的 86 个钱包在不到两小时内就被耗尽。
- Blockaid 标记了 SquidRouterModule 上的一个活跃漏洞,影响了 86 个 Gnosis Safe
- 大约 300 万至 320 万美元被盗并通过 Uniswap 兑换成 DAI
- 该漏洞是攻击者重复使用的固定字符串“消息安全”检查
- Squid 表示其主要 0xce16F 路由器合约和用户资金不受影响
根据链上安全公司 Blockaid 的说法,攻击集中在部署在以太坊和 Base 上的名为 SquidRouterModule 的 Gnosis Safe 模块,一些多重签名所有者使用该模块来路由涉及 Squid 和其他协议的跨链交易。
Blockaid 报告称,攻击者在大约两个小时内从 86 个 Gnosis Safe 钱包中窃取了资金,总损失约为 300 万至 320 万美元,然后将收益合并到一个持有超过 307 万 DAI 的地址中。
在一份详细的总结中,KuCoin 的新闻台援引了 Blockaid 和 Squid 的话说,被盗的代币通过攻击者设置的自定义 Uniswap V3 池兑换成 DAI,然后攻击者将耗尽的资金汇总到一个钱包中以简化洗钱活动。
核心错误位于 SquidRouterModule 的“消息安全”逻辑中:币安广场报道解释说,该模块只是接受调用者提供的常量字符串作为消息有效的证据,这意味着任何可以看到合约代码的人都可以复制该字符串并传递任意调用数据。
CoinNess 报告称,攻击者利用此公共固定字符串验证从受影响的保险箱执行任意调用,从而有效地授予自己将资产移出多重签名的权限,而无需所有者确认。
SquidRouterModule 漏洞是如何耗尽 86 个 Gnosis Safes 的?
币安的事件记录直言不讳地描述了这一点,称该设计“接受调用者提供的固定字符串以确保消息安全”,这种模式消除了任何真正的身份验证,并为从集成钱包中提取资金开辟了直接路径。
这是 Gnosis Safe 模块的已知风险类别,因为 OpenZeppelin 的早期研究表明,如果其内部检查薄弱或配置错误,任何附加模块都可以在未经所有者批准的情况下从钱包执行交易。
在本例中,不安全模块标有 Squid 名称,但由第三方集成商开发和部署,而不是由 Squid 团队或其核心协议维护者开发和部署。
为什么 Squid 使其核心路由器远离黑客攻击?
在官方 X 帖子中,Squid 表示“此事件与 Squid 的核心协议和合约无关”,并强调其主路由合约(链上识别为 0xce16F69375520ab01377ce7B88f5BA8C48F8D666)“未涉及任何恶意交易。”
KuCoin 的文章指出,Squid 澄清 SquidRouterModule“不是由他们开发、部署或运营的;该名称是第三方在与 Squid 集成时独立选择的”,并且它完全位于核心路由器的架构之外。
该团队进一步强调,用户的资金、现有审批和协议级集成仍然安全,并且“Squid 的核心跨链路由不受影响”,同时继续监控情况并与安全公司协调。
尽管如此,效果还是很糟糕:正如 KuCoin 的文章指出的那样,头条新闻不可避免地将“Squid”与“黑客”配对,尽管爆炸半径仅限于一个草率的 Safe 模块,该模块与该项目的唯一真正联系是品牌及其使用 Squid 作为几个集成路由器之一。
安全研究人员长期以来一直警告说,Gnosis Safe 的强大功能附带一个警告,即如果其逻辑有缺陷,插入 Safe 的任何模块都可以在没有所有者确认的情况下执行交易,这正是绕过固定字符串检查后发生的情况。
对于更广泛的跨链和钱包扩展生态系统,SquidRouterModule 事件是另一个具体例子,说明外围模块中的可组合性和惰性安全假设如何能够完全在协议自己的合约和审计之外打开攻击面。
这也凸显了 Squid 等基础设施团队面临的一个痛苦现实,Axelar 将 Squid 描述为“一种通过单个 SDK 实现跨链流动性路由和交换的协议”:即使您自己的合约健全,第三方包装程序如果未能满足基本的安全卫生要求,仍然可以将您的品牌拖入利用头条新闻。