Squid spieszy się, aby oddzielić markę od exploita modułu Gnosis Safe wartego 3 miliony dolarów
Squid szybko podkreśliło, że niedawny exploit o wartości 3 milionów dolarów był wymierzony w moduł Gnosis Safe innej firmy o nazwie SquidRouterModule, a nie w jego główne kontrakty routingu cross-chain, po tym jak 86 portfeli na Ethereum i Base zostało opróżnionych w ciągu niecałych dwóch godzin.
- Blockaid wykrył aktywny exploit w SquidRouterModule, dotykający 86 portfeli Gnosis Safe
- Skradziono około 3–3,2 miliona dolarów, które wymieniono na DAI za pośrednictwem Uniswap
- Podatność polegała na stałym ciągu znaków przy weryfikacji „bezpieczeństwa wiadomości", który atakujący wielokrotnie wykorzystali
- Squid informuje, że jego główny kontrakt routera 0xce16F oraz środki użytkowników nie zostały naruszone
Według firmy zajmującej się bezpieczeństwem on-chain, Blockaid, atak koncentrował się na module Gnosis Safe o nazwie SquidRouterModule, wdrożonym na Ethereum i Base, który był używany przez niektórych właścicieli multisig do routowania transakcji cross-chain obejmujących Squid i inne protokoły.
Blockaid poinformował, że w ciągu około dwóch godzin atakujący wyprowadził środki z 86 portfeli Gnosis Safe, a całkowite straty wyniosły około 3–3,2 miliona dolarów, zanim skradzione środki zostały skonsolidowane na jednym adresie przechowującym nieco ponad 3,07 miliona DAI.
W szczegółowym podsumowaniu biuro informacyjne KuCoin, powołując się na Blockaid i Squid, podaje, że skradzione tokeny zostały wymienione na DAI za pośrednictwem niestandardowej puli Uniswap V3 utworzonej przez atakującego, który następnie zagregował wyprowadzone środki do jednego portfela, aby ułatwić pranie pieniędzy.
Główny błąd znajdował się w logice „bezpieczeństwa wiadomości" modułu SquidRouterModule: analiza Binance Square wyjaśnia, że moduł po prostu akceptował stały ciąg znaków dostarczony przez wywołującego jako dowód ważności wiadomości, co oznaczało, że każdy, kto mógł zobaczyć kod kontraktu, mógł skopiować ten ciąg i przekazać dowolne dane wywołania.
CoinNess informuje, że atakujący wykorzystał tę publiczną weryfikację stałego ciągu znaków do wykonania dowolnych wywołań z dotkniętych portfeli Safe, skutecznie przyznając sobie uprawnienia do wyprowadzenia aktywów z multisigów bez potwierdzenia przez właścicieli.
W jaki sposób exploit SquidRouterModule opróżnił 86 portfeli Gnosis Safe?
Notatka incydentalna Binance opisuje to wprost, stwierdzając, że projekt „akceptował stały ciąg znaków dostarczony przez wywołującego w celu zapewnienia bezpieczeństwa wiadomości" – wzorzec, który eliminował jakiekolwiek prawdziwe uwierzytelnianie i otwierał bezpośrednią ścieżkę do wyprowadzania środków ze zintegrowanych portfeli.
Jest to znana klasa ryzyka dla modułów Gnosis Safe, ponieważ wcześniejsze badania OpenZeppelin wykazały, że każdy dołączony moduł może wykonywać transakcje z portfela bez zatwierdzenia przez właściciela, jeśli jego wewnętrzne mechanizmy kontroli są słabe lub błędnie skonfigurowane.
W tym przypadku niebezpieczny moduł nosił nazwę Squid, ale został opracowany i wdrożony przez integratora zewnętrznego, a nie przez zespół Squid ani głównych deweloperów protokołu.
Dlaczego Squid dystansuje swój główny router od włamania?
W oficjalnym poście na platformie X, Squid oświadczyło, że „ten incydent nie jest związany z głównym protokołem i kontraktami Squid" oraz podkreśliło, że jego główny kontrakt routingu, zidentyfikowany on-chain jako 0xce16F69375520ab01377ce7B88f5BA8C48F8D666, „nie był zaangażowany w żadną z złośliwych transakcji".
Artykuł KuCoin odnotowuje, że Squid wyjaśniło, iż SquidRouterModule „nie był przez nich opracowany, wdrożony ani obsługiwany; nazwa została niezależnie wybrana przez podmiot trzeci podczas integracji ze Squid" i że moduł ten znajduje się całkowicie poza architekturą głównego routera.
Zespół podkreślił ponadto, że środki użytkowników, istniejące zatwierdzenia i integracje na poziomie protokołu pozostają bezpieczne, oraz że „główny routing cross-chain Squid pozostaje nienaruszony", podczas gdy zespół nadal monitoruje sytuację i koordynuje działania z firmami zajmującymi się bezpieczeństwem.
Mimo to wizerunek jest niekorzystny: jak wskazuje artykuł KuCoin, nagłówki nieuchronnie łączą „Squid" z „włamaniem", mimo że zasięg ataku ogranicza się do niedbale zaprojektowanego modułu Safe, którego jedynym prawdziwym powiązaniem z projektem jest branding i wykorzystanie Squid jako jednego z kilku zintegrowanych routerów.
Badacze bezpieczeństwa od dawna ostrzegają, że moc Gnosis Safe wiąże się z zastrzeżeniem: każdy moduł podłączony do portfela Safe może wykonywać transakcje bez potwierdzenia przez właścicieli, jeśli jego logika jest wadliwa – co dokładnie miało miejsce tutaj, gdy weryfikacja stałego ciągu znaków została obejścia.
Dla szerszego ekosystemu cross-chain i rozszerzeń portfeli, incydent SquidRouterModule jest kolejnym konkretnym przykładem tego, jak komponowalność połączona z leniwymi założeniami bezpieczeństwa w modułach peryferyjnych może otwierać powierzchnie ataków całkowicie poza własnymi kontraktami i audytami protokołu.
Podkreśla również bolesną rzeczywistość dla zespołów infrastrukturalnych takich jak Squid, który Axelar opisuje jako „protokół umożliwiający routing płynności cross-chain i swapy za pośrednictwem jednego SDK": nawet gdy własne kontrakty są solidne, zewnętrzne wrappery mogą nadal wciągnąć Twoją markę w nagłówki o exploitach, jeśli zawiodą w podstawowej higienie bezpieczeństwa.
Możesz także polubić
Wieloryby Hyperliquid pokazują sprzeczne ruchy, gdy HYPE osiąga nowy szczyt
Napięcia na rynkach energii są powodem do obaw o stabilność finansową
Majówkowe spowolnienie ukrywa sygnały porozumienia z Iranem, gdy Trump nakazuje dążyć do porozumień Abrahamowych
