وفقًا للمنشور الرسمي من Squid (@squidrouter) ومراقبة منصة الأمان السلاسلية Blockaid (@blockaid_)، تم استغلال وحدة طرف ثالث تُسمى "SquidRouterModule" مؤخرًا على شبكتي Base وEthereum، حيث سُرقت حوالي 86 محفظة Gnosis Safe، وخُسر ما يقارب 3.2 مليون دولار أمريكي، ثم تم تحويل العملات المعدنية المسروقة عبر حوض Uniswap V3 الخاضع لسيطرة المهاجم إلى DAI. أكدت Squid رسميًا أن هذه الوحدة لم تُطوّر أو تُنشر أو تُدار من قِبلها، بل إن الاسم المستخدم هو اختيار من قِبل طرف ثالث عند دمج Squid، ولا علاقة له بعقد التوجيه الأساسي لـ Squid (0xce16F69375520ab01377ce7B88f5BA8C48F8D666). يكمن جذر الثغرة في أن هذه الوحدة من طرف ثالث تقبل سلسلة ثابتة مقدمة من المُستدعي كأداة مصادقة أمنية، واستغل المهاجمون هذه العيوب لتنفيذ بيانات استدعاء عشوائية، وبالتالي سرقة أصول المحفظة الآمنة للضحايا. أموال وصلاحيات وتكاملات مستخدمي Squid جميعها في حالة أمان، وستستمر الشركة في مراقبة تطورات الحادث.
سكويد توضح استغلال الوحدة الخارجية، والبروتوكول الأساسي غير متأثر
TechFlowمشاركة
ملخص
أكدت Squid على استغلال DeFi يتعلق بوحدة طرف ثالث تُسمى SquidRouterModule، مما أدى إلى سرقة حوالي 320,000 دولار من 86 محفظة على Base وEthereum. تم تبديل الأصول المسروقة عبر حوض Uniswap V3 تحت سيطرة المهاجم إلى DAI. ووضحت Squid أن الوحدة لم تكن جزءًا من تحديث بروتوكولها، وشددت على أن عقد التوجيه الأساسي لم يتأثر. سمح الثغرة بإجراء مكالمات عشوائية بسبب شهادة أمان ضعيفة. وضمنت Squid للمستخدمين أن الأموال والصلاحيات والتكاملات آمنة.
المصدر:عرض النسخة الأصلية
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة قد حصلت عليها من أطراف ثالثة ولا تعكس بالضرورة وجهات نظر أو آراء KuCoin. يُقدّم هذا المحتوى لأغراض إعلامية عامة فقط ، دون أي تمثيل أو ضمان من أي نوع ، ولا يجوز تفسيره على أنه مشورة مالية أو استثمارية. لن تكون KuCoin مسؤولة عن أي أخطاء أو سهو ، أو عن أي نتائج ناتجة عن استخدام هذه المعلومات.
يمكن أن تكون الاستثمارات في الأصول الرقمية محفوفة بالمخاطر. يرجى تقييم مخاطر المنتج بعناية وتحملك للمخاطر بناء على ظروفك المالية الخاصة. لمزيد من المعلومات، يرجى الرجوع إلى شروط الاستخدام واخلاء المسؤولية.