根据区块链安全公司 Blockaid 和相关项目的声明,涉及第三方模块的安全漏洞已导致以太坊和 Base 网络上的用户钱包损失约 320 万美元。这起事件发生在周一,最初与一个名为“SquidRouterModule”的合约有关,导致与跨链协议 Squid 混淆。
Squid 很快在社交媒体平台 X 上澄清,被利用的合约并非其核心协议的一部分。该项目表示:“被利用的是第三方 SquidRouterModule,而不是 Squid 的 Router 合约。”并指出该模块仅共享名称,但不共享其代码。
该漏洞在两小时内针对至少 86 个 Gnosis Safe 多重签名钱包。据报道,被盗资金通过攻击者控制的 Uniswap V3 池兑换为 Dai (DAI) 稳定币。 Blockaid 的调查表明,根本原因是第三方 SquidRouterModule 中的漏洞,该漏洞可能允许攻击者冒充授权代表并发起未经授权的令牌传输。
Safe(以前称为 Gnosis Safe)钱包基础设施背后的团队 Safe Labs 对此事件做出了回应。首席执行官 Rahul Rumalla 表示,受影响的账户“似乎不是在 Safe Wallet 官方产品上操作的”。他强调,目前尚不清楚这些特定钱包实例是如何以及在何处创建和管理的,这表明它们很可能是通过外部集成设置的。
Rumalla 强调,官方 Safe Wallet 产品包含一项名为“Safe Shield”的安全功能,旨在在用户激活潜在恶意或未经验证的模块之前向用户发出警告。他指出,被利用的 SquidRouterModule 已被 Blockaid 标记为恶意,并包含在 Safe Shield 的风险检测规则中。
该事件强调了向智能账户钱包内的外部模块授予广泛执行权限相关的风险。截至发稿时,Cointelegraph 要求 Safe Labs 发表进一步评论的请求尚未得到答复。