Sebuah kelemahan dalam sesuatu yang disebut SquidRouterModule memungkinkan penyerang mengambil sekitar $3,2 juta dari 86 dompet Gnosis Safe yang tersebar di Ethereum dan Base. Seluruh aksi pencurian memakan waktu sekitar dua jam.
Perusahaan keamanan blockchain Blockaid mengidentifikasi pelanggaran tersebut pada 25 Mei. Dana yang dicuri segera ditukar menjadi DAI melalui kolam Uniswap V3 yang dibuka oleh penyerang, mengkonsolidasikan sekitar $3,07 juta ke dalam satu dompet.
Ini masalahnya: modul yang dieksploitasi bahkan bukan bagian dari protokol Squid inti. Itu adalah add-on pihak ketiga, yang membuat situasi ini sekaligus kurang mengejutkan dan lebih mengkhawatirkan.
Bagaimana eksploit bekerja
Masalahnya, menurut Blockaid dan PeckShield, adalah validasi identitas yang tidak tepat dalam modul tersebut. Modul tidak memeriksa dengan benar siapa yang benar-benar memanggilnya. Penyerang menyisipkan string yang disediakan oleh pemanggil untuk menyamar sebagai pengguna yang berwenang, sehingga berhasil menipu modul agar mengeksekusi transaksi tanpa persetujuan pemilik dompet.
Aset yang ditiru dalam serangan tersebut mencakup USDC, ENA, dan USDT. Setelah disedot, seluruhnya dialirkan melalui Uniswap V3 dan diubah menjadi DAI.
Dompet penyerang, yang diidentifikasi sebagai 0xa447…54859, kini memegang hasil yang telah digabungkan. Pendanaan awal penyerang berasal dari Tornado Cash.
Squid bergerak cepat untuk menjauhkan diri dari insiden tersebut, menjelaskan bahwa SquidRouterModule sepenuhnya independen dari protokol dan kontrak intinya. Perusahaan menjamin pengguna bahwa operasi utamanya tetap aman.
Pola yang sudah dikenal dalam keamanan DeFi
Modul pihak ketiga yang memungkinkan transaksi tidak sah tanpa persetujuan pemilik telah menjadi vektor risiko yang diketahui sejak setidaknya tahun 2020. Arsitektur modular yang membuat dompet Gnosis Safe kuat adalah arsitektur yang sama yang menciptakan permukaan serangan.
SquidRouterModule telah diverifikasi di Basescan, yang memberikan kesan legitimasi. Namun, verifikasi di penjelajah blok hanya berarti kode sumber dapat dibaca secara publik. Ini tidak berarti kode telah diaudit, diuji secara nyata, atau bebas dari kelemahan kritis.
Jendela dua jam antara awal penarikan dan konsolidasi menunjukkan seberapa cepat dana dapat bergerak di DeFi setelah kerentanan ditemukan. Saat Blockaid menandai aktivitas tersebut, penyerang sudah menyelesaikan operasi dan menyimpan hasilnya di DAI.
Apa artinya ini bagi para investor
Perhatian segera adalah sederhana: jika Anda memiliki dompet Gnosis Safe dengan SquidRouterModule diaktifkan, Anda harus mencabut izinnya segera. Setiap dompet yang memberikan akses ke modul ini berpotensi berisiko, terlepas dari apakah itu menjadi sasaran dalam serangan spesifik ini.
Penggunaan Tornado Cash untuk pendanaan awal dan kolam Uniswap V3 untuk pencucian uang juga menimbulkan pertanyaan berkelanjutan tentang kemampuan ekosistem DeFi untuk merespons eksploitasi secara real time. Setelah dana mencapai layanan pencampuran, pemulihan menjadi jauh lebih sulit, dan konsolidasi pelaku ke DAI berarti dana tersebut dapat digunakan kembali atau dibridging dengan relatif mudah.
Protokol inti Squid mungkin tidak terpengaruh, tetapi perusahaan sekarang menghadapi tantangan untuk menjelaskan mengapa sebuah modul yang menggunakan namanya, meskipun dikembangkan secara independen, menjadi vektor pencurian senilai jutaan dolar.