SquidRouterModule में एक दोष के कारण एक हमलावर ने ईथेरियम और बेस पर फैले 86 Gnosis Safe वॉलेट्स से लगभग 3.2 मिलियन डॉलर की राशि निकाल ली। पूरी चोरी लगभग दो घंटे में पूरी हुई।
ब्लॉकचेन सुरक्षा कंपनी ब्लॉकएड ने 25 मई को इस लापरवाही की पहचान की। चोरी हुए धन को हमलावर ने अपने द्वारा खोले गए Uniswap V3 पूल्स के माध्यम से DAI में तुरंत बदल दिया, जिससे लगभग $3.07 मिलियन को एकल वॉलेट में संकलित कर लिया गया।
यहाँ बात यह है: दुरुपयोग किया गया मॉड्यूल कोर स्क्विड प्रोटोकॉल का हिस्सा भी नहीं था। यह एक तीसरे पक्ष का एड-ऑन था, जिससे पूरी स्थिति दोनों तरह से कम आश्चर्यजनक और अधिक चिंताजनक बन जाती है।
एक्सप्लॉइट कैसे काम करता था
दोनों Blockaid और PeckShield के अनुसार, समस्या मॉड्यूल के भीतर अनुपयुक्त पहचान सत्यापन थी। मॉड्यूल ने यह सही ढंग से जांच नहीं की कि वास्तव में कौन इसे कॉल कर रहा है। हमलावर ने कॉलर द्वारा प्रदान किए गए स्ट्रिंग्स को इंजेक्ट किया ताकि अधिकृत उपयोगकर्ताओं का नकली प्रतिनिधित्व किया जा सके, जिससे मॉड्यूल को वॉलेट मालिकों की सहमति के बिना लेनदेन निष्पादित करने के लिए धोखा दिया गया।
हमले में शामिल नकली संपत्तियाँ USDC, ENA और USDT शामिल थीं। एक बार खाली होने के बाद, सब कुछ Uniswap V3 के माध्यम से रूट किया गया और DAI में बदल दिया गया।
हमलावर का वॉलेट, जिसे 0xa447…54859 के रूप में पहचाना गया है, अब संयोजित लाभ रखता है। हमलावर की प्रारंभिक फंडिंग टॉर्नेडो कैश से आई थी।
स्क्विड ने घटना से दूरी बनाने के लिए जल्दी कार्रवाई की और स्पष्ट किया कि SquidRouterModule इसके मूल प्रोटोकॉल और कॉन्ट्रैक्ट्स से पूरी तरह से स्वतंत्र है। कंपनी ने उपयोगकर्ताओं को आश्वासन दिया कि इसके प्राथमिक संचालन सुरक्षित हैं।
DeFi सुरक्षा में एक परिचित पैटर्न
अनधिकृत लेनदेन को सक्षम करने वाले तीसरे पक्ष के मॉड्यूल, जो मालिक की सहमति के बिना होते हैं, कम से कम 2020 से एक ज्ञात जोखिम वेक्टर रहे हैं। ग्नोसिस सेफ वॉलेट को शक्तिशाली बनाने वाली मॉड्यूलर आर्किटेक्चर ही वही आर्किटेक्चर है जो हमले के लिए सतह पैदा करती है।
SquidRouterModule को Basescan पर सत्यापित कर दिया गया है, जिससे इसे वैधता का आभास मिलता है। लेकिन एक ब्लॉक एक्सप्लोरर पर सत्यापन का केवल अर्थ है कि स्रोत कोड सार्वजनिक रूप से पढ़ा जा सकता है। इसका अर्थ यह नहीं है कि कोड की समीक्षा की गई है, इसे परीक्षण किया गया है, या इसमें महत्वपूर्ण दोष नहीं हैं।
ड्रेन और संघटन के शुरू होने के बीच के दो घंटे के समयावधि में यह दिखाता है कि DeFi में एक वल्नरेबिलिटी मिलने के बाद फंड कितनी जल्दी आगे बढ़ सकते हैं। जब तक Blockaid ने गतिविधि को चिह्नित किया, तब तक हमलावर ने पहले ही संचालन पूरा कर लिया था और लाभ को DAI में रख दिया था।
इसका निवेशकों के लिए क्या अर्थ है
तुरंत चिंता सरल है: यदि आपके पास SquidRouterModule सक्षम Gnosis Safe वॉलेट है, तो आपको तुरंत इसकी अनुमतियाँ रद्द कर देनी चाहिए। जो भी वॉलेट ने इस मॉड्यूल को पहुंच दी है, वह संभावित रूप से खतरे में है, चाहे इस विशिष्ट हमले में इसे लक्षित किया गया हो या नहीं।
प्रारंभिक वित्तपोषण के लिए Tornado Cash और धोखाधड़ी के लिए Uniswap V3 पूल के उपयोग से DeFi परितंत्र की वास्तविक समय में दुरुपयोगों के प्रति प्रतिक्रिया करने की क्षमता के बारे में लगातार प्रश्न उठते हैं। एक बार जब धन मिश्रण सेवा में पहुँच जाता है, तो पुनः प्राप्ति घातीय रूप से कठिन हो जाती है, और हमलावर का DAI में संकलन इन लाभों को सापेक्ष रूप से आसानी से पुनः निवेशित या सेतुबंधित करने की अनुमति देता है।
स्क्विड का मूल प्रोटोकॉल अप्रभावित रह सकता है, लेकिन कंपनी को अब यह समझाने की चुनौती का सामना करना पड़ रहा है कि उसके नाम वाला एक मॉड्यूल, भले ही यह स्वतंत्र रूप से विकसित हो, कैसे मिलियन डॉलर की चोरी का माध्यम बन गया।