Odaily Planet Daily News: Ipinost ng Squid sa X platform na ang insidente ay hindi nauugnay sa Squid core protocol at contract, at walang epekto sa anumang Squid user o integrated party, at walang kailangang gawin.
Araw na ito, isang third-party Gnosis Safe module sa mga network ng Base at Ethereum ay nasakop, na nagresulta sa pagkawala ng halos $3.2 milyon. Ang vulnerable contract ay may pangalan na "SquidRouterModule" sa Basescan, ngunit hindi ito binuo, in-deploy, o pinamamahalaan ng Squid; ito ay isang third-party smart wallet product na pumili na i-integrate ang Squid at iba pang protocols, at walang ugnayan sa Squid.
Ang prinsipyo ng pag-atake ay ang third-party module ay tumatanggap ng constant string na ibinibigay ng caller bilang patotoo ng seguridad ng mensahe, at ang string na ito ay nakikita nang pampubliko sa napatunayang code ng contract; pagkatapos mag-input ng string na ito, ang attacker ay maaaring pagsamahin ang anumang calldata array at makuha ang pera nang walang pagkakamali. Ang Safe wallet ng biktima ay idinagdag ang masamang contract bilang trusted Safe Module, na nagpapahintulot sa contract na kontrolin ang anumang token sa loob ng Safe nang walang pangangailangan ng lagda. Ang sariling routing contract ng Squid (0xce16...D666) ay may iba’t ibang arkitektura at hindi naapektuhan; ang mga pondo, awtorisasyon, at integrasyon ng mga user ng Squid ay ganap na ligtas.
Ang mga maagang ulat ay nagmumungkahi o nabanggit ang "SquidRouter" sa pamamagitan ng contract verification name sa Basescan; ang tamang paglalarawan ay: ang third-party SquidRouterModule ang nasakop, hindi ang Router contract ng Squid. Bagaman may magkaparehong pangalan ang contract na ito sa Squid, hindi ito bahagi ng Squid code. Patuloy na sinusubaybayan ng Squid ang sitwasyon, at i-update ang impormasyon kung may malaking pagbabago.