Isang kamalian sa isang bagay na tinatawag na SquidRouterModule ang nagbigay-daan sa isang hacker na mag-iiwan ng halos $3.2 milyon mula sa 86 Gnosis Safe wallets na nakalatag sa Ethereum at Base. Ang buong pagkakasira ay tumagal ng dalawang oras lamang.
Nakita ng blockchain security firm na Blockaid ang paglabas noong Mayo 25. Mabilis na nilipat ang mga nakuha na pondo sa DAI sa pamamagitan ng Uniswap V3 pools na itinatag ng attacker, pinagsama ang halos $3.07 milyon sa isang wallet.
Narito ang bagay: ang napasok na module ay hindi kahit pa bahagi ng core na Squid protocol. Ito ay isang third-party add-on, na nagiging dahilan kung bakit ang buong sitwasyon ay parehong hindi nakakagulat at mas nakakatakot.
Paano gumana ang exploit
Ang problema, ayon sa Blockaid at PeckShield, ay ang hindi tamang pagpapatotoo ng identity sa loob ng module. Hindi tama ang pag-check ng module kung sino ang aktwal na tumawag dito. Ang attacker ay nag-inject ng mga string na ibinigay ng caller upang magmukhang mga awtorisadong user, at epektibong pinagtritripan ang module upang pagsisimulan ang mga transaksyon nang walang pahintulot ng mga owner ng wallet.
Ang mga ari-arian na inimposto sa pag-atake ay kasama ang USDC, ENA, at USDT. Pagkatapos ma-drain, lahat ay pinadala sa pamamagitan ng Uniswap V3 at binago sa DAI.
Ang wallet ng attacker, na nakikilala bilang 0xa447…54859, ay may kasalukuyang nakapagkumpol na kita. Ang unang pagsisikap ng attacker ay galing sa Tornado Cash.
Lumipad agad ang Squid upang maghiwalay sa insidente, ipinaliwanag na ang SquidRouterModule ay ganap na independiyente sa kanyang pangunahing protokolo at mga kontrata. Siniguro ng kumpanya sa mga user na ang kanilang pangunahing operasyon ay ligtas.
Kilalang pattern sa DeFi security
Ang mga third-party module na nagpapahintulot sa hindi awtorisadong transaksyon nang walang pahintulot ng owner ay isang kilalang risk vector mula pa noong 2020. Ang modular na arkitektura na nagiging dahilan kung bakit kapana-panabik ang mga wallet ng Gnosis Safe ay ang parehong arkitektura na lumilikha ng attack surface.
Ang SquidRouterModule ay na-verify sa Basescan, na nagbibigay sa iyo ng panlabas na pagkakamaliwanag ng kawastuhan. Ngunit ang pag-verify sa isang block explorer ay nangangahulugan lamang na ang source code ay publiko at maaaring basahin. Hindi ito nangangahulugan na ang code ay na-audits, nasubok sa pagsubok, o libre sa mga mahalagang kakulangan.
Ang dalawang oras na window sa pagitan ng simula ng pagbubuwal at pagkonsolidasyon ay nagpapakita kung gaano kalakas ang paggalaw ng mga pondo sa DeFi agad pagkatapos makita ang isang vulnerability. Nang ma-flag ng Blockaid ang aktibidad, ang attacker ay naka-completed na ng operasyon at isinara ang kita sa DAI.
Ano ang ibig sabihin nito para sa mga investor
Ang agad na pag-aalala ay simpleng: kung mayroon kang Gnosis Safe wallet na may pinagana ang SquidRouterModule, dapat mong i-revoke ang mga pahintulot nito agad. Anumang wallet na nagbigay ng akses sa module na ito ay posibleng nasa panganib, anuman ang pag-atake sa partikular na pag-atake na ito.
Ang paggamit ng Tornado Cash para sa initial funding at Uniswap V3 pools para sa paglilinis ay nagtatayo ng patuloy na tanong tungkol sa kakayahan ng DeFi ecosystem na tumugon sa mga exploit sa real time. Pagkatapos makarating ang mga pondo sa isang mixing service, ang pagkuha muli ay naging exponentially mas mahirap, at ang pagkonsolida ng attacker sa DAI ay nangangahulugan na ang mga kita ay maaaring muling i-deploy o i-bridge nang may relatibong madaling paraan.
Ang pangunahang protokolo ng Squid ay maaaring hindi maapektuhan, ngunit ngayon ay face ng kumpanya ang hamon na ipaliwanag kung bakit ang isang module na nagdadalhin ng kanyang pangalan, kahit na independiyenteng nabuo, ay naging vector para sa isang pagkakawala ng milyon-milyon dolyar.